製品価格を比較できるサイト「価格.com」が不正侵入された「価格.com事件(価格.com問題)」。5月14日以降閉鎖した同サイトは5月24日の夜,一部を除いてサービスを再開した。翌5月25日には,この件については最後になる可能性がある記者会見が開かれた。
本稿では,現時点(5月25日)までの経緯を,その都度,記者が考えたことを交えてまとめたい。後述するように,不正侵入された原因などについては一切明らかにされていない。だが,筆者はこの対応に強く疑問を感じた。顧客への説明責任を果たし,また,類似の犯罪を防ぐためにも,情報をもっと公開すべきではないか。
今回の事件を機に,サイト管理者はセキュリティ対策を改めて確認しておきたい。不正侵入を許せば,被害者でありながら加害者になる可能性があるのだから。
詳細は未公表の緊急会見
カカクコムが「価格.com」を閉鎖したことを発表したのは5月15日24時(5月16日午前0時)。同社の発表情報によると,同社が不正アクセスやプログラムの改ざんを確認したのは5月11日のこと。サイト上で稼働するプログラムが改ざんされために,同サイトへアクセスするだけでウイルス(悪質なプログラム)を実行させられる可能性があった。
また,同サイトへ登録したユーザーのメール・アドレスが不正に閲覧された形跡もあったという。
◆【速報】価格.comがハッキングで閉鎖、閲覧者にウイルス感染の可能性も [2005/05/16]
この時点ではカカクコムの発表情報だけが頼りだったので,情報は少なかった。「一体どんなウイルスなのか?」「(通常はありえないことだが)サイトにアクセスしたユーザーは全員感染するのか?」――といったことが分からなかった。ウイルスに関して明らかにされていたことは,ウイルス対策ソフト「NOD32」を使っている環境では,「trojandownloader.small.AAO」および「PSW.Delf.FZ」といった名称のウイルスが検出されるということだけだった。
その後同社は,5月16日の12時付けで,NOD32の体験版を自社サイトで配布し始めた。ただし,この時点では,事件に関する新しい情報は公表されなかった。このため,同日17時からの緊急記者会見で明らかにされることが期待された。
◆【価格.com問題】トップ・ページ閲覧だけで感染も,自ら対策ソフトの配布開始 [2005/05/16]
だが,記者会見の内容は,筆者にとっては納得できるものではなかった。「警察が捜査中」を理由に,侵入経路や侵入された原因などについては,一切公表されなかったためだ。
◆【続報】修正しているそばから改ざん、価格.comが生々しく状況説明 [2005/05/16]
◆【価格.com問題】穐田社長が謝罪,メール・アドレスの一部も流出? [2005/05/16]
会見中,穐田誉輝 代表取締役社長兼CEOが「ネット専業として,最高レベルのセキュリティを施していたつもりだが,今回このようなことになった。今後は,再度最高レベルのセキュリティを施す」と発言したことにも違和感を覚えた。同社の「セキュリティの専門家によると,今回のアタックはレベルが高いと聞かされた」という言葉も引っかかった。本当なのだろうか。
今回の「サイトに不正侵入して,ウイルス(不正なプログラム)をダウンロードさせるようなコードをWebページに埋め込む」という攻撃を聞いて,筆者の頭に浮かんだのは,2004年6月に発生したIIS(Internet Information Services)への攻撃である(関連記事)。Windowsのセキュリティ・ホール「MS04-011」を突いて侵入し,IISの設定を変更して「Download.Ject」と呼ばれるコード(不正なプログラムを勝手にダウンロードさせるコード)を埋め込む攻撃が頻繁した。セキュリティ・ホールがある環境でそのようなサイトへアクセスすると,今回同様,不正なプログラムをインストールされてしまう。
だが,「最高レベルのセキュリティ」なら,Webサーバーにセキュリティ・ホールが存在するわけはない。「(最高レベルのセキュリティなら)セキュリティ・ホールを突かれたということはないですよね」と同社に質問すると,これについても「捜査中」を理由にノーコメントだった。
サイトは閉鎖すべきだった
「5月11日に発覚していたのに,なぜサイトを運営し続けたのか?」についても,納得のいく答えは聞かれなかった。「11日の時点でサイトを閉鎖するという選択肢もあった。だが,閉鎖すると侵入経路が分からなくなる」(穐田社長)。侵入経路が分からないまま閉鎖すると,再開後に被害を受けるというのだ。理解に苦しむ。ユーザーを危険にさらしたままでよかったのだろうか。
◆【デスク安井晴海が詠む!】改ざんも 閉鎖は見送り カカクコム 真の顧客は いったい誰か [2005/05/18]
もちろん,同社は熟考したことだろう。サイトを閉鎖した場合の損失や稼働させ続ける場合のリスクなどをはかりにかけて,その上で閉鎖しないことを選択したのだろう。当初は,ユーザーがダウンロードさせられるファイルがウイルスとは判断できなかったことも,リスクを過小評価した一因だと考えられる(同社が利用していた対策ソフトでは,その時点では同ウイルスを検出できなかった)。
とはいえ,不正アクセスを許していれば,サイトにはどんな細工が施されてしまっているのか分からない。いくら犯人を特定したいとしても,そのようなサイトにユーザーをアクセスさせていたことは許されることではないだろう。「第三者が言うのは簡単だ」「結果論だ」――。いろいろな反論もあるだろうが,筆者としてはサイトを閉鎖すべきだったと思う。
ウイルスの正体が明らかに
5月16日の会見時点までは,仕込まれていたウイルスの正体が明らかでなかったために,不安や混乱を招いていたが,会見終了後,アンチウイルス・ベンダーの多くが情報を公開し始めた。例えば,Windowsのセキュリティ・ホールをふさいでいないユーザーが,同サイトへアクセスするだけでウイルスに感染する恐れがあったことなどが明らかとなった。
◆カカクコムがサイト閉鎖の経緯を説明,「当初は対策ソフトの多くが未対応,ウイルスを確認できず」 [2005/05/16]
ほとんどのウイルス対策ソフトも対応し始めたので,ユーザーの被害の面では,事態は沈静化していった。実際,5月25日開かれた記者会見(後述)での発表によると,5月16日のユーザーからの問い合わせはおよそ500件(そのうち8割がウイルスに関するもの)だったが,23日には1日あたり50件以下になったという。
5月16日の会見時,同社は5月23日ごろからサービスを順次再開し,再開してから1週間後ぐらいに事件の詳細を発表すると発言した。「捜査中なのでノー・コメント」を強調する同社からは,この時点では,これ以上の情報を引き出すことは難しい。次の記者発表まで待つしかないと考えた。
