プロジェクトシートK(仮)

技術の吐き溜めなどなど

セコムとトレンドマイクロの事件からみる人間の脆弱性の話

ちょっと話題はすぎちゃったけど、人間の脆弱性に関わる事件が立て続けに起こったので。今回の記事も雑に。

 

先週こんな事件が起きました。

 

japan.zdnet.com

bunshun.jp

 

要約すると(ほぼタイトル通りだが)、

・セキュリティ会社が顧客情報を第三者に売りそこから被害が生じた

・家のセキュリティを任せた相手に窃盗された

 

ってことらしい。

 

すごい(小並感)。セキュリティを取り扱う会社として、それも超大手であるプロの会社が、考え得る事件の中で一番やっちゃいけないことを立て続けにやらかしてる。

 

まず、トレンドマイクロの件から。セキュリティ会社が情報漏えいさせるってなんの冗談だよと。しかもそれが、システマチックに被害を受けるとかじゃなくて単に内部の人間が意図的に情報を漏えいさせたときたものだ。個人情報守るためにセキュリティソフト買ったらそこの会社に個人情報売られるって、ギャグか。現代落語みたいだな。

 

セコムの件も。家の貴重品を守るために警備を任せた相手に貴重品を盗まれる、これもギャグか。警備ってなんだっけ?でもまあ、こっちの事件は似たような事例が多い気がする。なんかのテレビでみた記憶があるけど、夜間警備中に大金を見つけてしまい魔が差して盗んでしまった、って事件に近いのかな。この事件は、窃盗した人が悪意を持って事前からそのつもりで窃盗したのか、それともそんなつもりは無かったものの魔が差して盗みを働いてしまったのか、それが気になる。前者と後者で話は少し変わってくるからね。

 

いずれの事件においても、セキュリティを提供する会社としては信頼がガクって落ちたんじゃないかな。会社としての目的とやらかした事件の内容があまりにも噛み合いすぎてるし。

 

数年前のベネッセの情報漏洩の件とかは、ベネッセ自体がセキュリティ会社じゃなかったからまぁ致命的じゃなかったと思う。それでもダメな事には変わりないけど。

 

さて、ここで本題。

 

 

ここに挙げた事件は、ベネッセの件含めて全部人間の脆弱性に起因するわけで。ハッカーからテクニカルな攻撃を受けたわけでもなく、「USBメモリから個人情報を持ち出せちゃった」みたいな。なぜこうも、しょうもない経緯で情報が漏洩してしまうのだろうか?

 

それについて語る前に、ソーシャルエンジニアリング(SE)に関する研究を紹介しようと思う。

 

時はさかのぼり1995年。USENIXの論文"Information Security Technology: Don’t Rely on It"では、この時代から流行していた人間心理をついたハッキングについてまとめられている。

https://dl.acm.org/citation.cfm?id=1267591.1267592

 

タイトルから分かる通り、情報セキュリティ技術は完全に信頼してはいけないことを述べた論文である。

 

引用(和訳):

攻撃者は、会社の情報を得るためにゴミをあさったり、警備員になったり、会社に雇用すらされようとする。

 

 

また、2006年のEDPACSの論文"Social Engineering: Concepts and Solutions"でも、

同じような分析が述べられている。

https://www.tandfonline.com/doi/abs/10.1201/1079.07366981/45802.33.8.20060201/91956.1

 

引用(和訳):

ソーシャルエンジニアリング攻撃のうち30%が完全外部から、70%が内部からの犯行である

 

 

この2つから言えることは、社内の人間こそ一番情報を漏洩し得るということである。しかも、冒頭に挙げた2つの事件に関わらず、20年以上前からそういう傾向があるのである。

しかもタチの悪い事が、標的の会社の機密情報を不正に得るために、その会社に雇用される手段も取ることがあるという事で、もとから悪意をもって働いていることになる。

 

さてここで話を戻すが、先ほど「しょうもない経緯で情報が漏洩してしまう」と書いた。しかしそれは果たして本当に「しょうもない」と言えるのか。寧ろ、情報を取得する手段としては一番合理的な手法なのではないか。

 

外部からシステマチックなハッキングをするとなると、少なからずガチガチに固められたセキュリティ網を突破する必要がある。しかし内部から、それも機密情報を取り扱う立ち位置に就けたのであれば、その情報を漏洩させたり不正に使用することははるかに簡単だろう。

 

つまり、この事件に対する見方を変えるべきなのである。

USBメモリで情報漏洩とかありえないwwww」

「内部の人間が犯行するとか教育ちゃんとしとけよ」

こういった意見は少し違うんじゃないかなって思う。(まぁモチロンUSBへの書き出しを禁止しとけよって話ではあるんだけど、そこは本質的な話じゃないので渇愛。権限さえあればどっちにしろデータベースから引っ張ってこれるからね。)

 

むしろ

「セキュリティの一番簡単な突破方法ってやっぱ内部犯行なんだよね」

「どんな人でも悪意を持ってるかどうかって分からないからなぁ…」

みたいな、SEがあまりにも簡単に情報を不正入手できる手段なんだって、認知させなきゃいけないと思う。

 

一般的にSEの対策として、情報セキュリティに関する社内教育は有効であると言われているが、もとから悪意をもって入社した場合にそれはまるで通じない。

 

ではどうすればいいのか。

そこで提案したいのが性悪説である。

 

簡単な話で、周りの人間が全員悪意をもって行動していると仮定しつつシステムを構築する。例えばさっきも書いたけどUSBの書き出しは一括で禁止するとか、何かの行動をするとしても絶対にもう一人監視役をつけるとか、すべての行動をトラッキングするとか。

 

まあでも現実的にそんな社会は嫌だし、何より面倒くさい。世間が一般的に性善説で成り立っているのは、この「面倒くささ」が一番の要因なんじゃないかなって思ってる。

 

性悪説でシステムを構築する。それが嫌なのであれば、SEの被害は覚悟しておけ

 

 

なんだか話がまとまらなくなっちゃったけど、この主張がこの記事で言いたいことかな。とにかくSE被害がはるか昔からあるのに、世間ではそこまで問題視されていないのは、早急に変えていくべきだと思う。

 

そして次同じような事件が起こったときには、「しょうもない」の一言では片づけずに、人間の悪意について考えてほしい。