セキュリティ会社元社員の個人情報流出事件の疑問点:萩原栄幸の情報セキュリティ相談室(1/2 ページ)
F-Secureの元社員がネット上で多くの個人情報を流出させたと騒ぎになった。セキュリティの専門家としてこの出来事で疑問に感じた点を挙げてみたい。
にわかには信じられない事件が起きた。セキュリティ会社として世界的にも有名なF-Secureの元社員(事件後に退職)が、信条的に「気に食わない」人の意見に対し、これに「いいね」を投票した一般の人の個人情報を故意に流出させてしまったというものだ。
この事件は様々な意味で興味深く、また今後も事態が変わるかもしれない。事件の底流には現代社会の混沌とした部分や様々な思想、視点によって違う正義などが流れ、複雑化しているようにも思う。今回はセキュリティの専門家としてこの出来事に感じた疑問を挙げてみたい。
事件の経緯は様々なところで報じられているので割愛するが、疑問点は大きく(1)流出情報の入手方法、(2)会社側の対応――の2つになる。
疑問点1:どうやって情報を入手したのか
実は、情報を流出させた元社員とはある団体で何度か話をしたことがある。ご本人は覚えていないと思うが、ユニークな性格の方だったと記憶しており、その彼が事件を起こしたと聞いて驚いた。どうしてこういう行為に及んだのかは、本人にしか分からないだろう。ただ、セキュリティ会社の中核を担う社員であり、こういう行為をすることの恐怖は人一倍理解しているはず。本当に残念でならない。
元社員は個人情報をどうやって入手できたのだろうか。このようなことができると思われる裏ソフトは幾つか存在し、Facebookのセキュリティが完璧ではない(セキュリティ自体に完璧はないが)こともある。しかし筆者は、特定の「いいね」をした人の個人情報を簡単に、数百人レベルで入手できる術を知らない。
ピンポイントで特定個人の情報を晒すことは、時間さえあればある程度できるだろうが、セキュリティ業界に身を置く人は、まずそういう行為をしないと筆者は思う。過去の実証実験を除けば、個人的な目的でそういう行為に及んだ人を、少なくとも筆者は記憶していない。そこで考えられるのは次の4つの可能性だ。
- F-SecureとFacebookとセキュリティ面で業務提携しているため、その関係者として情報を入手する術を知っていた?
- F-Secure社内にセキュリティの脆弱な部分があり、元社員が密かに情報を入手していた?
- 単純に元社員にスキルがあった?
- 元社員に個人的な人脈があり、そこにつながる人間が関与していた?
まず可能性の(1)、(2)についてF-Secure側は否定をしているので、その真偽を知る術はない。ただ、そもそもピンポイントかつ、「いいね」をした全員を狙ってその個人情報の入手を「実行できる」ということは、論理的にFacebook全ての加入者の任意の個人情報が入手可能ということになる。これ自体が非常に脅威であると筆者は感じている。
関連記事
- 社員のSNS発言リスクに企業はどう備えるべきか
社員やアルバイトなどの安易なSNSでの発言から“炎上”が起きると、最悪の場合に倒産などの事態も起こりかねない。今回は「バカッター」のリスクから組織を守る視点で解説したい。 - 「いいね!」の先にある落とし穴 Facebookのセキュリティ10か条+α
今回は、先週お伝えした「Facebookのセキュリティ10か条」では取り上げなかった幾つかの注意点を挙げてみたい。その1つがいわゆる「いいね!」である。 - いま一度考えたいSNSの使い方とセキュリティ
Facebookで知らない人から「友達リクエスト」が来ても承認しづらいが、よく知っている人からでも困ったケースが起きた。便利で危険なSNSについて再考する。 - SNSくらい自由にさせろ! 伝統的社風を破壊する「やっかい者集団」との戦い
会計システムのソフト開発会社が全く毛色の違うスマホアプリに手を出した。そこで起きたのは、伝統的な本社と革新的(?)な新規事業部による、文化や社風をめぐる争いであった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.