higuchi.com blog

The means justifies the ends

親切と犯罪は紙一重 [Webサイトの脆弱性]

[PR] 本ブログの商品紹介リンクには広告が含まれています

企業や団体のWebサイトの、登録してある個人情報などを盗み出せてしまう恐れがあるなどのセキュリティ上の不具合を探し出して、それを指摘し、情報が漏洩しないようにする対策を促すという活動をボランティアで行っている人たちがいます。本来は、それぞれのサイトの運営者がセキュリティ対策についての監査をして(監査自体をビジネスとして代行してくれる会社もたくさんあります)対策するべきなのですが、そういうところにお金と手間をかけるのを面倒くさがる傾向が強くなおざりにされているのが現状で、それに対して個人的に警鐘を鳴らしつづけているわけです。
そんな人たちが不具合を見つけたときにとる行動に2つのパターンがあるようです。
  • パターンその1 そのWebサイトの管理者に対してメールなどで「こういう不具合があって、こういう危険性があるので直してください」と直接連絡。修正されたら「こういう不具合の事例がありました」と公表して他の人が同じ轍を踏まないように啓蒙する。
  • パターンその2 有無を言わさず(たいてい、匿名で)そのWebサイトに実際に侵入したり、データを盗み見できる可能性を示す仕掛けを組み込んだりして、そのサイトの脆弱性を「晒して」見せる。
たとえて言えば、戸締りの悪い家を見つけたとき、ドアをノックして「もしもし、戸締りが悪いですよ。泥棒が入りますよ。」と教えてあげるか、覆面をかぶって押し入って「この家は戸締りしてないぞ」とみんなに聞こえる大声で叫んでみるか、の違いです。こう書くと、一方は親切な行為、もう一方はまるで社会性のない行為のように見えますが、やっている側の感覚からするとその違いは紙一重なのではないかという気がします。 実は、私が運営しているWebサイトの一つで、XSS(クロスサイトスクリプティング)といわれるセキュリティ上の脆弱性が発見されたことがありました。そのときメールで脆弱性を指摘してくださった方は匿名だったのですが office と名乗っていらっしゃいました。その人のおかげで、問題が起こる前に情報が漏洩する危険性のある不具合を修正することができました。新聞などの報道によると、どうやらその方が先日逮捕されてしまったようです。コンピュータソフトウェア著作権協会のWebサイトの脆弱性を発見して、公開のセミナーでそのサイトに登録されていた個人情報を抜き出して見せて、参加者に抜き出し方や抜き出したデータを配布してしまったとのこと。
どうやら、office さんは、パターンその1の人からパターンその2の人に変わってしまったようです。どうしてこんなことになってしまったのでしょうか。
世間にあるWebサイトには、いろんな脆弱性が潜んでいます。絶対に大丈夫だと思って作っていても、後から抜けや漏れが見つかることがよくあります。国税庁の確定申告のサイトですら他の人の申告書類が表示されてしまうなんていう初歩的な間違いが平気で出てくるぐらいです。そういう問題があることを外から一生懸命指摘し続けても、世間のWebサイト管理者のセキュリティに対する意識は一向に向上せず、業を煮やして「紙一重」を越え「正義の鉄槌」をふるってしまったのかな、と考えてしまいます。本人が何を思ってそうしたのかは、もちろん本人ではないので、本当のところはわかりませんけどね。
相手に迷惑がかかることだと承知の上でWebサイトの個人情報を抜き出して「晒して」見せたという、子供じみた行動そのものは、私は弁護する気になりませんが、そういう行動に走ることになった本当の原因は考えてみる必要があると思っています。
せっかく才能があってこれまで努力してきた方なのですから、今後もポジティブに啓蒙活動に活躍していただきたいですね。

コメント

まだコメントはありません

コメントを書く

関連するかもしれない記事

アテンションの行方 [Newsweek誌の廃刊]

アテンションの行方 [Newsweek誌の廃刊]

報道によりますと、米 Newsweek 誌が今年いっぱいで紙の雑誌の刊行をやめて、オンラインデジタル版に...

この記事を読む »

コンサル風4象限マトリクスチャートにはだまされないぞ [困ったプレゼン]

コンサル風4象限マトリクスチャートにはだまされないぞ [困ったプレゼン]

久しぶりにいいものをみせてもらいました。 私が関与しているある会社がWebサイトのリニューアル...

この記事を読む »

シティバンクオンラインの画面

がんばれ Citibank [つっけんどんなサービス]

一見、普通のメッセージ入力画面だけど……Citibank のキャッシュカードにヒビが入ってしまったので、オン...

この記事を読む »

ベータ版 [Nucleus v2.5対応 日本語ランゲージファイル]

しばらく、忙しさにかまけてBlogシステムの改良をさぼっていたら、本家Nucleusサイトでは新バージョンで...

この記事を読む »

Windows HotFix を集中管理する [UpdateEXPERT]

私がかかわっているIT系ベンチャー企業のうちの有名でないほう(笑)が手がけた、新しい会社がスタート...

この記事を読む »

Nucleus の終わりと始まり [LMNucleus 3.66]

higuchi.com を10数年にわたって支えてきたブログシステムの Nucleus CMS が、開発終了を宣言してし...

この記事を読む »

顧客獲得コストの投入先 [自動車保険一括見積もりサービス]

自動車保険の更新が近くなったので、保険会社から契約継続の案内が郵送されてきました。何も考えずにそ...

この記事を読む »

WIRED

春ですね [WIREDリニューアル]

彼の地でも春が新しいことを始める季節なのかどうか知りませんけど、今月号からWIRED誌がリニューアルし...

この記事を読む »

温泉旅館の案内図

Webサイト=建造物 [田舎の温泉旅館のようなサイトができる理由]

図は本文とは関係ありませんとある非営利団体のWebサイトのメンテをしているのですが、このサイトが実に...

この記事を読む »

これだけ? [FolderShare]

P2P 技術を使ってネットワーク越しに複数のパソコンのフォルダの中のファイルを自動的に同期してくれる...

この記事を読む »