極楽せきゅあブログ

ときどきセキュリティ

なぜ凄腕ハッカーvsスクリプト厨という認識のギャップが生まれてしまうのか

ソニー長谷島CIOが約7700万件の個人情報漏えいを説明、「巧妙な手口防げず」 | 日経 xTECH(クロステック)

「(日本時間の)4月21日に不正アクセスの報告を受けた。調査を進めるにつれて、対応が容易ではない巧妙な手口だということが分かってきた。どのようなデータが漏えいしているかの判断すらも困難な状況になった」

こういうとき、どうしても自己弁護的に「相手がすごかったから自分たちじゃどうしようもなかった。ベストは尽くしていた」と言いたくなるものだよね。サウンドハウスのときもそうだったけど、今回なんか既知の脆弱性ってとこから下手するとスクリプトな人じゃないかと思われるのに、相手を超ウィザード級ハッカー(今チラ見した攻殻機動隊でそんなフレーズが出てきましたよw)であるかのように形容して失笑を買ってしまう。今はtwitterのようにデマも真実も等しく強力に伝播させるツールが存在するので、そういう評価はものすごく商売に痛手になっても不思議じゃないのに、そんな認識をさらけ出してしまう。それはなぜなんでしょうね?

  1. ついている専門家のセキュリティ知識のレベルがそんなものだから
  2. 専門家がそもそもついていないから
  3. システムを作り上げるときにセキュリティの知識を持った専門家が居なかったから(後で参入していたとしてもやれることは限られる)
  4. IPAのセキュリティセミナーに来ていなかったから(笑)

思いつくところではこんな感じの原因(候補)があるでしょうか。最後は半分はジョークですが半分は本気です。無料のそういうセミナーを誰かが受講していたら、それだけでも今回のこういう事態には至らないで済んだとも思えますからねえ。
あともう一つ過去の事例と共通する部分があるのは、真の被害者は誰なのかということをあまりよくわかってない、わかっていたとしてもそれを会見で表現できていない、というところかな。ソニーも被害者なんだけど、本当の被害者って預けていた重要個人情報をダダ漏れされてしまった利用者であるわけで、それをしっかり認識した上で対処していたとしたら、気づいてから10日後とかに公表するとか無かったんじゃないかなあ。事実を確認してから、と慎重になるのもわかるけど、公表が遅くなればなるほど個人情報が悪用されてしまうリスクは高くなるしね。