クラウド化の途中で起きた不正アクセス、顧客マスターが不正コピーされた理由：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

回答

　その後C社に連絡し、弁護士を介在させて、B氏の実際の情報漏えいデータを全てA社に連絡するように求めた。後日に連絡がきた。案の定、その中には「勤務先名」「ID」「パスワード」も含まれていたのだ。パスワードをデータの1つとしては持たせていなかったが、ハッシュ化された値は盗まれていた。しかも、MD5という脆弱なハッシュ関数である。

　現在でもフォレンジック調査などをしていると、現場ではいまでもMD5が使われていることが多い。筆者はこの事実に多少の違和感を覚えている。確かにこれまでMD5は、長い歴史があり某大な実績や今までの検査物件の「連続性」から利用していることは理解できる。またその用途が「同一性」「改ざんされていない」をある程度担保するという目的なので、「認め印」以上の信頼はされてきた。そのことに何の不思議もない。

　ただし、「暗号」という目的ではそろそろこの方式は「博物館行き」というべきもので、C社も別の方式を採用すべきだった。ただ、C社は設立したばかりであり、個人で運営しているほど小さな組織であった。社長が若い頃に使っていた方式をそのまま採用していたらしいが、「改善」すべき問題だと社内でも意識をしていたようであり、筆者はこれ以上の追及はしなかった。

　ここからは筆者の想定である。恐らくC社のデータを盗んだ人間は、当然ながらこのデータを闇ルートで売ったのだろう。そして、買ったグループはその金額の数十倍以上もの利益を稼ぐために「個人情報＋勤務先＋ID＋平文に戻したパスワード」を使って各サイトで不正アクセスを試行したに違いない。

　本件での試行とは、勤務先のシステムからIDとパスワードで試すのである。モバイルを許容している企業なら、最初の手順さえ分かればID＋パスワードで遠隔地から堂々と侵入できてしまう。IDは通常、「メールアドレス」や「ニックネーム」であるが、C社では重複さえしなければ何でも（最大12ケタの文字）OKだった。Bさんは当然ながら、何も考えずに社内システムにアクセスするのと同じIDとパスワードにしたのは前述の通りだ。

　結局、A社は筆者の「B氏に対する過大な処罰は企業にとって大きなマイナスになります」という忠告を受け入れた。それと同時に、就業規則の見直しなどにも取り組んでいる。B氏は「厳重注意」処分となり、始末書を提出しただけで済んだ。ただし、筆者は個人的にB氏に1時間も説教した。情報セキュリティ教育の外部講師も担当することになってしまった……。

　ここまでの内容に「その対策はどこでも言われていることだ」と消化不足の読者も多いだろう。ではどうすべきなのかということと、ちょっと暗くなる未来の予測について次回ご紹介しよう。偶然にも本稿執筆中に、IPAからパスワードに関する発表が行われた。これについては異論も多いことだろう。それにも触れてみたい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。