情報漏洩に関する報道の中で「情報漏洩の形跡がなかった」という企業の言い分を目にすることがあります。最近の一連のハッキングに関する報道を見ていても、そのような報道発表が目に付きます。

 「形跡がない」イコール「情報漏洩がない」ではありません。例えば、形跡がないという根拠として、サーバーのログに何も記録がないということが考えられます。しかし、サーバーの管理者権限が完全に乗っ取られていたとしたらどうでしょうか。この場合、最悪の事態を想定すると、「管理者権限が奪われてログが消されたり改竄されたりした可能性があり、何が起こったかは分かりません。全てのデータが漏洩した可能性があり、しかも、今あるデータも一部消されているかもしれないし、改ざんされているかもしれません」という状態です。しかし、「情報漏洩の形跡がなかった」という表現からは、このような最悪のケースを連想することが一般の人には困難です。

 同じように、サーバーに侵入した証拠としてサーバーの設定ファイルやパスワードファイルを公開することが行われることが少なくありません。これは、ハッカー自身が、侵入には成功したが、個人情報漏洩を自ら行わないことによって罪を逃れたいという意図だと考えられます。侵入したが悪いことはしていないと主張する場合もあります。

 このようなハッカーからの声明が発表された場合、「個人情報は公開されなかったため、個人情報の漏洩はありません」という発表につながることがあります。しかし、侵入したのは声明を公開したハッカーだけとは限りません。その話を聞いた他の悪いハッカーが侵入して個人情報を盗み出したかもしれませんし、声明を公開したハッカーも「オプションとして」顧客情報などをコピーしていったかもしれません。例えば、それは後日企業が個人情報漏洩の可能性を否定するような発表を行った場合に、「その企業はウソをついている。顧客情報はこれだ」という声明とともに個人情報を公開するために、後日の「オプション」として盗み出していることもありえます。

 従って、不正アクセスを受けた企業では、以下の点について正確に発表する必要がありますし、我々もそれを要求する必要があるのではないかと考えています。

  • ログは残されていたのか
  • ログは改ざんされていないのか
  • 個人情報へのアクセスを記録していたログは完全に残されているか

 特に、個人情報へのアクセスログですが、実際には取得されていないケースは少なくないのです。なぜなら、侵入されたことを解析するようなことでも無い限りそういうログは必要ない上に、膨大な量になるからです。ログを取得するようにしていたとしても、前述のように管理者権限を奪われたりすると、ログが残らないこともあります。それに備えてWebアプリケーションの前後にあるネットワークやデータベースでログを取れば良いのですが、パフォーマンスや安定性に大きな影響を与えることが考えられ、管理者や開発者に最も敬遠されがちです。

 これからもハッカー攻撃は続き、同じような報道が繰り返されると思われます。正確な情報を伝えるという意味でも報道発表の内容に関して、技術的に正しいガイドラインが必要であると考えています。そのようなガイドラインの存在があることによって、ログの正しい収集についての気運が高まることが期待できます。

 ログはむしろちゃんと取らない方が情報漏洩の事実が分からなくていい、というような正直者が馬鹿を見るような状況になることだけは避けたいものです。