ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴：セキュリティクラスター まとめのまとめ 2014年7月版（2/2 ページ）

社内のUSBメモリ管理って大丈夫!?

　この事件ですが、漏えいしたデータはデータベースの管理に関わっていた派遣社員（後に業務委託と訂正がありました）が、USBメモリを使って何度も少しずつデータを抜き出していたことが判明し、逮捕されます。犯人は普通のユーザーではアクセスできないデータにアクセスする権限を持っていたため、情報を盗み出せたようです。

　当初は被害者に賠償しないつもりに見えたベネッセですが、長期にわたりデータが抜き出されていたことを見つけられなかったというずさんな情報管理が明らかになるにつれ、態度を変化、平謝りとともに賠償の準備を行っています。

　この点に関しては、派遣社員に機密データを扱わせることに問題があるという意見が多かったです。派遣社員の待遇を改善していれば犯罪は起きなかったのではという意見もありましたが、そこそこの収入があり、ギャンブルなどによる借金返済のための犯行であることが明らかになることで、そのような意見が出ることはなくなりました。

　企業データを盗まれないように、USBメモリの接続を管理しているはずなのに、どうしてこの管理をすり抜けて、許可されないUSBメモリを社内PCに接続できたのかが、セキュリティクラスターの間では議論になりました。

　せっかくUSBメモリ接続に対し、お金出して対策ソリューションを導入したのに、すり抜けられたらまったく無駄になってしまいます。管理している側としては、気が気ではなかったようです。

　この投稿によると、USBメモリでなくデジカメやスマートフォンとして認識されると、デバイスを挿しても接続が拒否されないという製品がいくつかあり、ベネッセはそうした製品を採用していたのではないかという意見が出ていました。

　今回の事件では、日本で発売されている多数のUSB接続管理ソリューションには穴があるかもしれないことが明らかになり、頭を抱えた人も多かったのではないでしょうか。

証明書をPinningしないって脆弱性？

　GmailのiOSアプリで証明書のPinningを行っていないため、中間者攻撃による通信傍受の恐れがあるという報道が2014年7月14日にありました。それに関連して、アプリケーションが「Pinningを行わないこと」は脆弱性なのかといった議論が活発に行われました。

　証明書のPinningとは、アプリケーションが通信を行う認証局（CA：Certification Authority）が正しいものかをチェックするため、アプリケーション内に証明書情報を組み込んでおくという仕組みです。スマートフォン向けのアプリではこの仕組みを使っているものが多くありますが、Pinningしていないことが脆弱性だと言いきるべきどうかは意見が分かれました。

　認証局が偽造証明書を発行していることも多いので、「Pinningは必要だ」という意見だけでなく、「仕組みがあるとよいけど脆弱性として騒ぐのは大げさではないか」という意見、「特定の相手としか通信を行わな いスマートフォン向けのアプリで、そもそも通信相手の認証管理を認証局に委託するのはどうか」という意見、「Pinningによって第三者が通信内容が見られないようになることもあり、通信内容をチェックしたい側からすると困ることもある」といった、さまざまな意見が出ていました。

　また、スマートフォンアプリにおいては、Webの世界では脆弱性といわれないようなものまで脆弱性として扱われることがあるというツイートもありました。

　この他にも、7月のセキュリティクラスターはこのような話題で盛り上がっていました。8月はどのようなことが起きるのでしょうね。

• 開発時のセキュリティ要件ってどうすればいいんだろう
• LINEを監視していじめを見付けるツールってどうやって実現してるの？
• LINEの「パスワード変更したらスタンププレゼント」キャンペーンはまずいんじゃないの？
• LINEでWebマネーを買わせようとした人のIPアドレスに逆襲したのってまずくない？
• 韓国のSecuinsideで日本から参加のチーム「binja」がDEFCON本選出場権獲得
• パスワードインプットのautocomplete属性の話
• LINE乗っ取りごっこをして遊んでいたら運営にアカウントを消されたって本当？
• FlashのJSONP Callbackを使ったRosetta Flashハックがすごい
• iOSにバックドア？
• WhiteHackerzがついに脆弱性スキャナを作り上げるが……