ITmedia NEWS > ネットの話題 >
セキュリティ・ホットトピックス

なぜ“情報漏えい”は繰り返されるのか 宅ふぁいる便、Peing事件が教えてくれたことITりてらしぃのすゝめ(2/3 ページ)

» 2019年02月18日 07時00分 公開
[宮田健ITmedia]

サービス提供側は「セキュリティ意識」の向上を

 まずは理想論からいきましょう。どちらの事件も、作り手・送り手側のセキュリティ知識や意識の不足がこの問題を引き起こしたと考えていいでしょう。宅ふぁいる便は他のメディアで「史上まれに見る“バカな流出”」と表現されていました。注目すべきは、やはりパスワードが平文で保存されていたことでしょう。

 そしてPeing。こちらは、見えてはならないものが見えてしまっていることに気が付けなかったこと、指摘があっても修正ができていなかったこと、さらには問題に気付いて修正した後も似たような脆弱性が新たに作られていたことなどが問題といえます。問題の本質をしっかり認識できるエンジニアが足りなかったのでしょう。

情報漏えい メンテナンス中の「Peing-質問箱-」。1月29日の画面で現在はサービスを再開している

 しかし、これは決して宅ふぁいる便やPeingだけの話ではないように思えます。中には「忘れた人に送るため」という名目で、パスワードを暗号化/符号化せずに管理することが顧客サービスだと思っている人もいるでしょう。セキュリティ意識を持っていないと、Peingのような情報露出がどのように起きるか、そもそもよく分からないという人もいるはずです。

 サービスを運営する経営者層も現代のサイバー攻撃や脆弱性を学び、トップダウンでこのような事故を防ぐことが大切です。そしてエンジニアは通称“徳丸本”と呼ばれるバイブル「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」などを一読することをお勧めします。

自分の身を守るには?

 しかし、世の中は理想論だけでは回りません。いまこの瞬間も、脆弱性が発生したり、生パスワードのまま保存しようとするサービスが作られたりしているでしょう。氏名やID、パスワード、クレジットカード、そしてSNSのトークンなどが漏えいする事件はとどまる所を知らず、“バカな流出”は今後も続くはずです。

 これに対し、「サービス提供側のセキュリティ意識を向上させればOK」という理想論だけで対抗するのは得策ではありません。悪いのはもちろん脆弱性を作り込んでしまったサービス提供者なのですが、私たちもできる限り、対抗策をとるべきです。

 その対抗策とはもちろん、パスワードの管理をしっかりすること。もっと具体的にいえば「今度こそパスワードの使い回しをやめる」ことです。もはや普通の人も数十から数百のサービスを利用しているので、それらを全て異なるパスワードにしたら、覚えることはまず不可能です。

 もう覚えるのは諦めて、パスワード管理ソフトを手に入れましょう。もちろんWebブラウザに覚えさせてもOKです。最近のWebブラウザ(筆者の環境はSafari)は、パスワードの候補まで表示してくれるようになりました。これを信頼し、「パスワードは覚えない」という戦略をとることが、漏えい事件が当たり前になってしまった現代における、個人ができる対抗策の1つです。

Copyright © ITmedia, Inc. All Rights Reserved.