価格.comの事件

どうも調べてみると、セキュリティ体制がきっちり作られてない感じ。侵入されて数日ほったらかしというのは明らかにまずい対処だよなあ。
http://musyoku-waste.hp.infoseek.co.jp/test/
それに中の人らしい発言によると、とんでもないセキュリティ管理体制だったみたいだし。
http://slashdot.jp/comments.pl?sid=255839&cid=735814
https://www.netsecurity.ne.jp/1_2777.html
では、どうすればよかったのか？と言うのを考えないとね。
その前に経緯を整理してみる。

• 11日にWebページの改ざんを発見。14日までWebページの改ざんがあれば逐次修正していた。
• 14日に修正が追いつかなくなり、サイトを停止。
• 15日にお詫びが出る。

こんな感じか？

まず、問題なのは改ざん発見時点で、サイトを停止して、原因の調査を行っていないことである。情報セキュリティの事件は時間が経過するにつれ被害が大きくなるとよく言われている。また、犯人を調べるにしても、時間が経てば経つほど痕跡が消されていき、どのようにして侵入したのか、どこまで被害が広がっているのか、どこから侵入されたのかということがわからなくなってしまう。
コンピュータフォレンジックのどの本を見ても、侵入されていることがわかったら、まず、ネットワークケーブルを引っこ抜けとか、電源ブッチしろとか書かれている。
価格.comの報告によると、警察等に相談し、「24時間監視体制でサイト運営を続けながらプログラム改ざんの影響や対抗策、犯人の調査を続け」とあるが、こんなアドバイスをする人は少なくとも専門家にはいないと思う。まずは、被害を広げないよう、また、証拠を保全するようにアドバイスするのが普通である。仮に今回価格.comが行ったような対応をアドバイスしたのなら、そんな専門家は即効首にしたほうがいいと思う。
最近は、企業にとって、顧客の信頼と言うのが重要になっている。顧客の信頼を低下させるような対応をとるのは最悪のことである。特に価格.comのようなビジネスをやっている会社は。
この対応を見る限り、顧客のことより、自分たちの保身を重視している気がする。あの、「最高レベルのセキュリティ」の発言をみてもそうだし。24時間の監視体制でサイトを逐次直していたのは、単に担当者が上の目を気にしてばれないように工作していただけではないのか？それが、あまりに改ざん頻度が多くなって、隠し切れなくなったからサイトを落としたのではないのかと考えてしまう。また、その後のお詫びが出てくるのも遅すぎる。改ざんされているという事実がわかったのなら、その時点ですぐに第一報を出すべきだったのではないか？早め早めの情報公開のほうが、遅く情報を公開するより顧客の信頼を損なわないはずだと思う。
大体、このような事件を起こし、対応をしておきながらお詫び会見で「考えられる最高レベルのセキュリティ対策をしてきたつもりだった」と言う言葉が出てくるのはちょっとおかしいかなと思う。なんか「自分は悪くないもんねぇ」と言ってる様に感じるんですけど。実際のところは「考えられる最高レベルのセキュリティ対策」と言いながら、ウィルス対策ソフトしか入れてなかったのではないのかなぁ。

「だろう運用」と「かもしれない運用」

車の運転で、よく言われていることに「だろう運転」をしちゃいけなくて、「かもしれない運転」をしなさいということがある。
セキュリティ体制の運用についても同じことが言えるのではないか。「だろう運用」つまり、「うちはちっちゃい会社だから、うちのサイトは攻撃はされないだろう」とか、「これだけやってれば安全だろう」とかいう意識がセキュリティ事故を起こす原因なのかもしれない。一方、「かもしれない運用」つまり、「うちはちっちゃい会社だけど、うちのサイトも攻撃されるかもしれない」とか、「これだけやっていても安全じゃないかもしれない」という細心の注意を払う意識がセキュリティ事故を起こさないようにするのかもしれない。
というのを価格.comの事件を見て思ったりする。

不満をこぼす社員には要注意!? 怒りに駆られサイバー攻撃を仕掛けた実態調査

http://pcweb.mycom.co.jp/news/2005/05/18/010.html
やはり、そういうものかなぁ。でもアメリカの話しだし、日本だとどうなのかな？