これが悪しき前例になりかねん、という話。

同会見において穐田社長は，「できる限りのセキュリティ対策を施したが，結果的に不正アクセスを許した。このため問題がなかったとは言えないが，（カカクコムに）過失はなかったと考えている」と発言した。本当なのだろうか。もしこの発言が正しいとすると，きちんと対策を施しているサイトでも，サイト上のプログラムを改ざんされる可能性があるということだ。“恐ろしい”攻撃だ。そのような攻撃に関する情報を共有しなくてもよいのだろうか。

未知のセキュリティホールを突かれたというなら即座に公表する必要があるだろう。その対策を広めなくては被害がどんどん増えるばかりである。 しかし、カカクコムの対応としては公表せずに済ませるという。で、実際に既知のセキュリティホールはふさがれてたのかどうかわからないぞこれは、という警鐘なわけだな。

まあ、 サイバーノーガード戦法 なんてのもあるが、顧客情報の流出だけなら個人情報保護法で守られる。この戦法の本質は、「セキュリティホールは利用する方が悪い」「不正アクセスはアクセスしたほうが悪い」という平和ボケ極まりない考え方なんだわな。

けどねえ、針金でつんつんすりゃ開いてしまう鍵の自動車を売っておいて、針金でつんつんする奴が悪いなんて言う会社の車、買おうと思う? そりゃ悪いに決まってるけども、だからって針金でつんつんするだけで開いちゃう鍵を作った責任が無くなるわけじゃないだろうよ。

隠すことによるセキュリティは意味が無い、というのはよく言われることで、漏れた瞬間セキュリティが崩壊する危険性をはらんでいる。針金でつんつんすればこの鍵は開く、という情報を隠しておいても、それを知ってる者が存在する限りどこかで漏れる。ましてや実際に犯罪に利用されてるとあっては、犯罪者同士の横の繋がりで情報がすでに出回ってると考えるのが妥当だ。そうしたことが次の犯罪に結び付くのは、想像に難くない。

こちらのサイト でもサイバーノーガード戦法疑惑を持ってるようだな。まあ、そりゃみんなそう思うか。

(@362)