EmEditorや「オバQの毛」に気付いたeBookJapanに見る、「有事」のあるべき姿勢とは:適切なインシデント対応と情報公開には、適切な評価を(1/2 ページ)
セキュリティインシデントに遭遇した後、優れた対応を取った企業や組織を表彰することで、適切な事後対応に取り組むモチベーションとしてもらうことを目的とした「セキュリティ事故対応アワード」の表彰式が2016年2月24日に行われた。
セキュリティ対策は、労多くして報われることの少ない仕事かもしれない。運用全般に言えることだが、「何もなくて当たり前、何か起こると怒られる」という中で、安全を実現しようという使命感を持つ技術者に支えられているのではないだろうか。
だが何らかのセキュリティインシデントが発生すると、メディアや世間から糾弾され、時には「袋だたき」の様相を呈することもある。批判の中には、セキュリティ対策の不備や見通しの甘さなど、もっともな指摘もあるだろう。だがきちんと原因を追跡し、情報を開示し、しかるべき再発防止策をとったにもかかわらず、厳しい評価にさらされ続ける企業や組織もある。
「事故が起こらないに越したことはないが、いろいろ聞いてみると、事故後、現場の人たちはさまざまな対応を取っていることが多い。きちんとお金や人、時間をかけて対応したところと、ほとんど何もやっていないところが同じように扱われるのはおかしいのではないか。事後対応をきちんと評価しなければ誰も対応しなくなる。そして、重要性が指摘される割には情報共有も進まず、結果として全体としていい連鎖が生まれなくなってしまう」(ソフトバンク・テクノロジーの辻伸弘氏)
セキュリティインシデントが起こらないようにすることは不可能だ。できる限りの対策を講じていても事故が発生する可能性はある。そのとき、ユーザーの被害防止を念頭に置いて速やかに対策を進め、関係者と連絡をとって必要な情報を開示してもらうことが、社会全体にとってメリットとなり、安心と安全につながるのではないか。
そんな意図からマイナビニュースが「セキュリティ事故対応アワード」を設け、2016年2月24日に表彰式を行った。これはセキュリティインシデントに遭遇した後、優れた対応を取った企業や組織を表彰することで、適切な事後対応に取り組むモチベーションとしてもらうことを目的としている。
初回は2013年1月から2015年12月の間に発生したセキュリティインシデント100件以上を対象に、事故に関する報告内容やその後の対応を調査。情報公開のタイミングや内容を、「徳丸本」で知られる徳丸浩氏(HASHコンサルティング 代表取締役、関連記事)、Twitter上や@ITの記事を通してセキュリティ情報を発信している北河拓士氏(NTTコムセキュリティ)、本誌連載「セキュリティのアレ」でおなじみの根岸征史氏(インターネットイニシアティブ)と辻伸弘氏、セキュリティインシデントに関する情報をいち早くまとめているpiyokango氏という5人のセキュリティ専門家が評価した。「評価軸として、事件発覚から発表までに要した期間や続報の頻度、発表内容の詳細さ、それに自主的にプレスリリースを出したかどうかを基準にした」(辻氏)。
「ユーザーの安全を第一に」、速やかに情報を公開したエムソフト
優秀賞に選ばれた1社は、Windows向け定番エディター「EmEditor」の開発元であるエムソフトだ。同社のWebサイトは2014年8月に外部からの攻撃を受け、改ざんされた。この結果、特定のIPアドレスからEmEditorの更新チェッカー機能を利用すると、マルウェア配布サイトにリダイレクトされるようになっていた。
根岸氏は「攻撃が判明したその日のうちに情報を公開した。しかも、影響の及ぶIPアドレスレンジや攻撃方法、外部機関と連携しての対応状況など詳しい情報を連日公開したことを評価した」と述べた。
授賞式に登場したエムソフトの社長にしてEmEditor開発者の江村豊氏は当時を振り返り、「使っていただいているユーザーの皆さんの安全を守ることを第一に考え、できるだけ早く情報を出した」と語った。今回のケースでは、攻撃者によってサーバ内に不正な.htaccessファイルが置かれ、そこに記されたIPアドレスからアクセスした場合、マルウェアに感染する恐れがあった。幸い、実際にマルウェアに感染してしまったという報告は寄せられていないが、「ユーザーの安全のために、IPアドレスを公開することを第一に考えた」そうだ。
迅速な情報公開を可能にしたのは早期の「発見」だ。江村氏は日頃からファイルの改ざん検知を実施しており、外部からの通報前に不正アクセスに気付くことができた。「たまたま見覚えのないファイルが追加されていたことを見つけ、その日のうちに告知した」(江村氏)
もう一つ、一連の対応を通じて痛感したのは、「ホスティング会社を信用してはいけないということ。コントロールパネルの使いやすさやセキュリティを宣伝している会社でも、実際にこういった事件が起こると満足のいく対応が得られない。アドバイスもないし、なぜ起きたかという理由も教えてくれないので、自分でやるしかない」(江村氏)。同氏はこの事件を機に、ホスティングサービスからクラウドサービスに移行し、かつ「二段階認証を用いている。こうしたプロテクションは必須だと考えている」そうだ。
一連の公開情報では、攻撃を受けてしまった原因の一つとしてXOOPSの脆弱(ぜいじゃく)性を挙げ、さらに攻撃コードへのリンクも記されていた。ここまで情報を公開することにためらいはなかったのかという問いに対し、「既にWeb上で公表されている情報であり、他の人は知らなくても、ハッカー側は既に知っている」と述べた。
もう一つの優秀賞は、技術評論社だ。同社は2014年12月、「ZeroChiaki」を名乗る人物による不正アクセスを受け、OSごと入れ替えられる被害を受けた。その直後からTwitterを通じて逐次情報を公開した点を評価したと言う。同社は会場には姿を見せなかったが、「ネット犯罪がなくなることが望ましいが、万一起きたとき、変に騒がずきちんと対応できるようになる一助になれば幸いだ」というコメントを寄せている。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。