オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >
RSS
新倉茂彦の情報セキュリティAtoZ

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

IPAでも情報漏洩ですか・・・あぁ情けない!じゃあ問題は何だったのか?

»

情報処理推進機構(IPA)は1月6日、同機構職員の私物PCから電子データが流出した事件に関する経過報告を行った。IPA以外の企業情報もファイル共有ソフトウェアのネットワーク上に流出した。

同日現在、確認された流出ファイル数は1万6208ファイルで、このうち約1万3000ファイルが文書データだった。IPAでの業務データや職員がIPA以前に在籍していた企業および取引企業11社の情報も含まれるという。

 流出したデータのうち、IPAでの業務関連のものは「組み込み技術展2007」とソフトウェアエンジニアリングセンター開設3周年で、職員が私物のデジタルカメラで撮影した画像だった。

 一方、職員が以前に在籍した企業やその関連企業に関するデータには、2000~2005年当時の関係者の個人情報などが含まれ、総数は1万ファイルを超えるとみられる。個人情報の内容については、「回答できない」(仲田雄作理事)としている。

 この事件では、ソフトウェアエンジニアリングセンターに在籍する職員が、漢字変換ソフトウェアの「ATOK」児童のわいせつ画像を入手する目的で、2008年12月にファイル共有ソフトウェアの「Winny」と「Share」を利用したことが、聴取で判明した。このPCがファイル共有ソフトウェアを悪用するウイルスの1つ「Antinny.BF」(通称:暴露ウイルス)に感染し、職員が意図せずにデータがネットワーク上に流出した。外部からの指摘を受けて、IPAでは1月4日から調査を開始したという。

 

もちろん、どこでも起きうる話です。

しかし、最低限のことさえ守っていれば。。。守るなんてレベルじゃないですね。IPAに所属するならば、当たり前のはず・・・ですが!何か?って感じですね。

IPAの聴取に対し、職員は「意識が甘かった。大変な事態を起こし、反省している」とコメントしたという。流出元の私物PCにはウイルス対策ソフトウェアがインストールされていたが、パターンファイルを頻繁には更新しておらず、暴露ウイルスの感染を防ぐことができなかったという。

はっきり言って、もう情けなくて仕方ないですね。セキュリティを推進する機関にいながら、パターンファイルの更新もしないままに。。。これは起こるべくしておきたもの。IPA職員の情報流出は1万6000件 「Winny」「Share」でわいせつ画像など入手

問題は:

1.児童のわいせつ画像を収集していたこと。

2.違法ラインセンスのソフトウェアを入手していたこと。

3.以前の勤め先企業の情報を持ち続けていたこと。

この3点に関して善悪を別にすれば、どこにでもありそうな話。

・・・

この1と2をファイル共有ソフトを使って入手していたこと。

さらに追い打ちをかけたのは、ウィルスソフトの更新を怠っていたこと。

それによって、3の流出が拡大していったことです。

・・・

この中で1がネタとなり、ネット上で拡大してしまったことだと思っています。過去にも似たような事件が何件もあります。わいせつ画像や動画が流れた事で、流出した本人だけじゃない、関係者にも大きな迷惑がかかったこともありました。個人の情事をビデオで撮ったものが流出した時もそうでした。

既にネット上に出回ったデータの回収は不可能です。放っておけば沈静化するのですが、それ自体は問題の根本的なことにはなりません。そこに流れた情報に含まれてしまった方々は、沈静化したところで、問題の本質にはなりません。

一度出回ってしまったものが、物理的なブツならば「ブツ」を回収すれば良いのですが、情報やデジタルデータの場合には、物理的な「ブツ」は存在しません。般若心経で言う「空」に近いイメージでしょうか。

一般的な企業においても、情報セキュリティは企業継続を揺るがしかねない「重大な問題」になってきました。世の中の流れと、インターネットの普及によるものです。コンプライアンスなんて言葉で済ましたくない話です。

コンプライアンスを、「法令遵守」なんてバカな事を言っているほうが、おかしいのです。

子供にもわかる言い方をすれば、「人に迷惑をかけない」ことです。警察官の不祥事などを見ても、コンプライアンスなんてどこにもないでしょう。法律を守り監視する側にいるのですから・・・

今回、情報セキュリティの推進側の立場である職員の起こした事件ですが、一体何をしていたのでしょうか?

  これらの問題となる、ポイントをよくよく理解していた・・・はずですが。。。

  それらが引き起こす、二次的な問題も、より詳しく知っていた・・・はずですが。。。

単に意識が低かった、などと、子供だましのような言い方で済まして良いのでしょうか?子供でもダマされないと思います。子供に失礼な言い方をしている自分に罪悪感すら感じます。

まぁ、情報セキュリティ対策の推進側ですら、知っていながらこんな問題を引き起こすのですから、知らない方々は、もっと知っておく必要と、対策の必要性を是非ここから学んで頂きたいものです。

新倉 茂彦 2009/01/07 23:40:58 Comment(0)