「つながるのが当たり前」の時代は「そこから何かが漏れていくのも当たり前」の時代

山本一郎です。子供がそろそろ生理的なものを漏らさなくなりました。

ところで、残念な話ではありますが、サイバー攻撃によって個人情報などが漏洩してしまう事件はもはや日常茶飯事となってしまいました。我らが経団連も遂に激しく被弾したという報がつい先日もあったばかりです。

思うに、個人情報の漏洩がありました、ということでいちいち発表し、謝罪をしなければいけない状況になると、漏らしてしまった側も防衛策を考える以前に、漏洩の事実が確定的でない限り公表せず、警察方面にも通報・相談をしないという判断になって、結局は攻撃側有利の状況に拍車がかかってしまうのではないか、と悩むところではあります。

経団連、サイバー攻撃を受けた可能性を示唆(ZDNet Japan 16/11/10)

経団連は11月10日、経団連事務局のコンピュータから、外部と不審な通信を行っていた疑いがあることが11月4日に分かったと発表した。

出典:ZDNet Japan

経団連の事件については以下のブログ記事にて経緯が時系列でまとめられており分かりやすいですが、何者かに狙い撃ちされた線が濃厚に思われます。

つまりは、単に野良のハッカーが思い付きや虚栄心でわーっと攻撃して遊んでいる状況などではなく、意識して経団連を狙って入ろうとし、実際に入ったという事例であろうということです。

経団連事務局端末の不審な通信発生についてまとめてみた(piyolog)

事件の発覚は、業務委託している情報システム会社が通信状況を監視して通常にはない動きを発見したからですが、もしネット運用状況を適切に監視していなければ今も情報はダダ漏れのままであったかもしれないあたり、なかなか恐ろしいものがあります。

また、こんな事件もありました。

米アダルトサイトで4億人強の情報流出、日本語ユーザーも65万人が被害(ITmedia 16/11/15)

4億人という数字に圧倒されますが、日本から利用していた皆様はご愁傷様です。変な被害に巻き込まれないことをお祈りします。

さて、こうした情報流出事件の多くは外部からなんらかの攻撃を受けて起きるのが一般的ですが、中には市販の通信機器が最初から情報収集するための仕組みを忍び込ませて出回っていたりします。その手の例で一番分かりやすいのは以下のようなパターンでしょうか。

NSAは輸出するCisco製品にバックドアツールを仕込んでいた――スノーデン氏関連の新刊書が暴露(ITmedia 14/5/15)

Ciscoのルータといえば業務用という印象があり、一般個人ユーザーにはあまり縁のない話にも見えますが、バックドアが仕込まれるのは何も業務用機器だけとは限りません。個人ユーザー向けスマホにもそうした罠が仕込まれている可能性は否定できないのが今という時代です。

Androidスマホの中国製ファームウェアにバックドア、中国サーバーに情報を送信(PC Watch 16/11/16)

米国防高等研究計画局(DARPA)から分離したセキュリティ解析ツール提供会社、米Kryptowireは15日(現地時間)、Shanghai ADUPS Technologyが開発したファームウェアを採用した中国製スマートフォンにバックドアが仕組まれていると発表した。

(中略)

Kryptowireによると、このADUPS製ファームウェアを採用したスマートフォンは、ユーザーの位置情報やユーザーの通話履歴、連絡先情報、および入力したテキストメッセージなどを収集し、72時間おきに、中国にあるサーバーに送信していたという。

出典:PC Watch

いやはや、これは完全にアウトな案件ですね。

問題のあるファームウェアはHuaweiやZTEといった中国メーカー製スマホに採用されており、最悪の場合には世界中に出荷された7億台の製品に影響する可能性もあるということですから話の規模がでかいです。対策をどうするのか以前に、使っている機器に仕込まれてしまってはどうしようもないというのが実情です。

このような事態が発生した原因は、ファームウェア提供会社の言い訳によると「誤って実装してしまった」からだそうですが、これも米国のセキュリティ企業の社員がたまたま当該製品を購入して動作がおかしいことから調査して判明したまでで、もしそうした偶然がなければしばらくは誰も気付かないままで情報ダダ漏れが続いていたかもしれません。

一部報道にもありましたが、定期的に中国当局が閲覧している可能性のあるサーバーに、これらの機器がユーザーに無断で情報を送信していた、という疑いが強まるようであれば、これはもう一企業のうっかりミスではなく、特定国家の諜報機関による非合法な情報収集活動の一環だと断じるほかなくなってしまいます。

そして状況としては、DARPA絡みの米国セキュリティ関連企業が中国製スマホに密かに紛れ込んだバックドアを発見したという、まるでサイバー戦争のシナリオみたいな展開になっていて穏やかではありません。まあ真相は藪の中でありますが。

何でも彼でもネットにつながっているのが当たり前の時代になりましたが、つながっていればそこから何かが漏れていくことも当たり前ということは覚悟しておくことが必要な時代でもあります。不埒な輩が跋扈して不正に情報を盗み出す行為そのものを当たり前として認めるつもりはまったくありませんが、不幸にしてそういう事故に出会うのは交通事故と同じように誰にも起こり得ることだということだけは知っておくべきでしょう。できれば会いたくないものですが。

一番恐ろしいのは、誰かが「この機器にはバックドアがある」「これこれのアプリや通信事業者での通信内容は、何らかの方法でどこかに洩れている」と突き止めない限り、漏れは止まらないということにあります。

さて、この状況で世間一般の団体や組織が、例えば一部上場の大企業や重要な経済団体などであったとして、手の打ち得る可能な対策を打っていたにもかかわらず攻撃によって情報が漏れることがあるのだとすると、それは彼らの責任に帰するものなのでしょうか。

これだけ大規模に、それも対策を打っていても何らかの方法を編み出して情報を奪取してしまうという事案がゴロゴロしてしまうと、そろそろ情報の漏洩イコール社会的な糾弾の対象とは言えない状況になってきているような気がします。使っているスマホがアウトでした、引き込んだ回線から漏れました、という話では、一企業や組織の常識的なセキュリティ対策など本気の攻撃者には無意味ということになってしまいます。社会全体として、情報漏洩はあり得るものとして、対策を考えなければダメなフェイズなのでしょうが。

どうしたものですかね。