価格.comのサービス再開へ

 5月23日,同社は新しい情報を公表した。だが,それほど目新しい情報ではなかった。当初は5月23日に予定していたサービス再開を5月24日午後に変更したということと,流出したメール・アドレスの件数が判明したことを伝える情報だった。

「24日午後からサービス再開,盗まれたメール・アドレスは2万件超」――カカクコム [2005/05/23]
価格.comのメール・アドレス流出は2万件超 [2005/05/23]
【価格.com問題】2万2511件のメール・アドレス流出が判明 [2005/05/23]

 23日の情報どおり,一部サービスを除いて価格.comが5月24日午後9時45分に再開された。また,この時点で「サービス再開から1週間後ぐらい」に開催するとしていた2回目の記者会見を,5月25日に開くことも明らかにした。

【価格.com問題】24日9時45分にサイト復旧,25日夕には会見開催 [2005/05/24]
24日夜に「価格.com」がサービス再開 [2005/05/24]

“最後”の記者会見に失望

 そして5月25日,筆者が待ち望んでいた記者会見が開催された。「侵入された原因の詳細は無理でも,概要や対策については公表するだろう」――。もちろん出席した。そして失望した。「類似犯罪を招く」「不正アクセスの捜査に支障をきたす」――。この2つの理由で,不正アクセスを受けた原因や対応策などについては,一切明らかにされなかった。今後も明らかにするつもりはないという。

「価格.com」事件,「当社に過失はなかった」とカカクコム社長 [2005/05/25]
【価格.com問題】攻撃の手口の解明が進むが原因は非公表,「手口は今後も公開しない」 [2005/05/25]

 だが,類似犯罪を防ぐには,情報を共有したほうがよいと筆者は考える。秘密にしておいても,ばれたらおしまいである。しかも,今回のようなケースでは,攻撃者がインターネットなどで攻撃手法を公開する可能性もある。穐田社長は会見中,「(同社が受けたような攻撃は)他のサイトでも起こりうる」と発言している。

 もちろん詳細について公表する必要はないが,「対策を施すべきポイント」(例えば,「セキュリティ・ホールはきちんとふさいでおく」「アクセス制御を見直す」)ぐらいは公表してもよいのではないだろうか。それすらも言えないような“恐ろしい”攻撃なのだろうか。

 ちなみに同社では「必要な修正パッチは適用していた」(取締役CTOの安田幹広氏)という。

 同社では,秘密保持契約を結んだ他社には,今回の攻撃について話をしてもよいとしている。だが,そこまでして聞きに行く企業はあるのだろうか。

 「不正アクセスの捜査に支障をきたす」という理由にも疑問が残る。不正アクセスの原因の概要を話すことが,捜査にどのような影響を与えるのだろうか。これについては,同社だけの判断ではなく,警視庁からも話さないよう指示されているという。

悪しき前例にならないか?

 同会見において穐田社長は,「できる限りのセキュリティ対策を施したが,結果的に不正アクセスを許した。このため問題がなかったとは言えないが,(カカクコムに)過失はなかったと考えている」と発言した。本当なのだろうか。もしこの発言が正しいとすると,きちんと対策を施しているサイトでも,サイト上のプログラムを改ざんされる可能性があるということだ。“恐ろしい”攻撃だ。そのような攻撃に関する情報を共有しなくてもよいのだろうか。

 今回の不正侵入(攻撃)の詳細について,カカクコムから語られることはまずないだろう。だが,今回の事件については,情報処理推進機構(IPA)などにも同社は相談している。このため,IPAなどから,今回の事件の原因とその対策などがいずれ公表されることを期待したい。

 前述のように,「同社が秘密にしていても類似犯罪が発生する」ことに加えて,筆者はもう一点危惧していることがある。それは,今回のカカクコムの対応が,事故を起こしたサイト運営者に真似されないかということである。今回のケースでは,(筆者としては不満があるが)カカクコムとしては熟慮に熟慮を重ねた結果,今回のような対応(例えば,「原因については一切公表しない」)をとったと考えられる。

 だが,これで済んでしまうとなると,セキュリティ対策を全く施していないサイト運営者の言い逃れに,今回の同社の対応が使われる可能性がある。例えば,修正パッチを適用しなかったために不正アクセスされ,サイトにウイルスを埋め込まれてユーザーに被害を与えたにもかかわらず,「類似犯罪を招くので,詳細については言えません。対策はきちんと施していたので,私の過失ではありません」などと言い出さないとも限らない。

 もちろん,そのような言い訳を許すほど世の中(正確にはユーザー)は甘くないだろう。しかし,悪しき前例になる可能性は否定できないだろう。

 結局,この件については最後になると思われた記者会見でも,不正侵入された原因は明らかにはならなかった。だが,穐田社長の発言にもあるように,他のサイトが同じ手口で侵入される可能性がある。ありきたりではあるが,サイト管理者は,セキュリティ対策が施されていることを改めて確認しておこう。原因が分からない現状では,「セキュリティ対策のセオリーをきちんと守ろう」ぐらいしかいえない。セキュリティ対策のセオリーに関する情報は,IPAなどが公開している(例えば「読者層別: 情報セキュリティ対策 実践情報」)ので,参考にしてほしい。

(勝村 幸博=IT Pro)