muumoo.jp

2005/06/30 人材派遣のアデコ、6万件の登録者情報が流出か (CNET Japan)

不正アクセスの形跡があったそうです。「現在までのところ、流出した恐れのある個人情報が不正使用されたという報告は受けていない」とありますが、「盗まれたPCにたまたま個人情報が入っていた」というのとちがって、不正アクセスした人は情報を悪用する目的でやってる可能性が極めて高いため、不正使用されたとわからないように使われてるかもしれない。

記事の文章からは詳細があまり読み取れませんが、Webから登録を行った人の情報が漏れたっていうことでしょうか。なんでWebサーバに6万件ものデータが保存されてたんでしょ。不正アクセスってのは、未知の脆弱性を悪用されたらいくらでもありえる話。だからこそ、守るべき情報はそこには置かないのは鉄則です。これはなかなか偉い人にはわかってもらえない部分ですが、すごく大事なこと。「Webサーバに入り込むにはパスワードが必要だから、不正アクセスは不可能」とは言い切れないわけです。どんなにパスワードが必要なサーバでも、何かのバグによって入ってこられる可能性は普通にあるんです。一箇所だけどんなにガチガチにしてもダメなんですよセキュリティは。

家に置き換えて考えたらわかりやすいか。玄関だけに鍵をかけても、窓が開くかもしれない。じゃあ玄関も窓もセンサーを置けば大丈夫か。「玄関」「窓」という可能性を思いついたってことは、さらに第3、第4の入り口があるかも知れないし、そもそも鍵やセンサーすら信用できない。実際、停電にして窓を割れば入れそうな気がします。

んじゃあどうすりゃいいか。「大事なものは金庫にいれる」これはだいぶいい。もっといいのは「大事なものは家に置かない」これが極論です。実際、家にものを置かないというのは難しいかも知れませんが、ここで話をWebサーバに戻すと、とても簡単な話になる。置かなきゃいいだけです。

あとは「そこまでして守るほどのことか」というお金と時間の問題になるんでしょうけど、個人情報ってのは「そこまでして守るほどのもの」なんですよ。それに気づかないのが一番ダメなのかも知れません。

この記事のURI:

http://muumoo.jp/news/2005/06/30/3.html