トヨタのWebサイト改ざんで続報出ましたがこれで良いのでしょうか
トヨタのホームページが改竄された問題についての続報です。
山本一郎です。いい天気ですね。私には似合いませんが。
ところで、以前にトヨタのWebサイト改ざんでその後の対応がどうもよろしくないのではないかという記事を書きました。
トヨタのWebサイトが改ざんされたのは百歩譲って仕方ないとして、その後の対応はいかがなものでしょうか
で、ようやくこの件に関する続報がトヨタから発表されました。最初に事件の発表があったのは6月18日ですから丁度2週間後です。
弊社ホームページの改ざんに関する調査結果のご報告(続報)(トヨタお知らせPDF書類)
各新聞などもこの件を報道しています。
トヨタのサイト改ざん、情報抜き取りの恐れ(日本経済新聞 2013/7/3)
トヨタHP一部改ざん、IDやパスワード盗難か(読売新聞 2013/7/2)
IDやパスワードが抜き取られる恐れもトヨタのHP改ざん問題で(産経新聞 2013/7/2)
トヨタ、改ざんHPで閲覧者に情報流出のおそれ(中日新聞 2013/7/2)
日経だけが「同社は近く愛知県警に被害届を提出する方針」というトヨタのプレスリリースには書かれていない内容を報じていますから、おそらく関係者への取材が行われたということでしょうが、それ以上のことについては触れられておらず他紙と変わりがなく、あとはトヨタのリリースで分かることだけです。前回の経緯から考えると、トヨタがこの件でこれ以上の情報公開をする可能性は低く、何か追加情報が得られるとしてもそれは警察への被害届からということになりそうです。
今回のトヨタのリリースでは、前回の発表では伏せられていた「不正プログラム」の実態がようやく公開されておりますが、セキュリティアップデートされていないJavaの脆弱性を突くという、なんというか、実に典型的なものでした。最悪の場合には不正サイトに誘導され、PCへ不正プログラムがインストールされてしまい、そのままPCを使い続ければ「パソコン内部に保管されている情報やウェブサイト利用時に入力するID・パスワードが抜き取られる可能性」があったということです。これだけの重大なセキュリティ危機についての情報が、事件発表から2週間も経って(実際にトヨタ社内ではさらにもっと以前から発覚していた)公開されるというのはいかがなものでしょうか。
セキュリティ対策専門事業者などが解析すれば、おそらく事件が発覚した時点でどれだけ危険性のある不正プログラムであったかは直ぐに判明しているはずで、それが分かっていながら公表しないという道理は普通ありません。なにがしかの社内的事情によりこれまで発表されなかったのか、それとも本当に今まで解析に時間がかかってしまったのか、その事実は中にいる者にしか分かりませんが、なんとも気持ちの悪い話であることは間違いありません。相変わらずリリースでは「本件に伴う、弊社からのお客様情報の流出は、現在のところ確認されておりません」などというのんびりした文言が書かれているあたりも凄まじいものを感じます。いや、伝えるべきはそこじゃないだろうと。
日経の記事では「トヨタはホームページ(http://www.toyota.co.jp/)で注意を呼び掛けている」とありますが、Web検索などでヒットする実際の同社サイトのトップページは「トヨタ自動車: toyota.jp」であるため、一般のユーザーがこの注意に気がつくことはあまりないかもしれません。トップページから「ニュース」や「企業情報」のボタンをクリックして初めて気がつく人がいるかもしれないナビゲーションになっています。しかも、なぜか「インフォメーション」から「ニュース一覧」を選んだ場合には、この「弊社ホームページの改ざんに関する調査結果のご報告(続報)」のPDFへのリンクは現状見当たりません。
ネットのセキュリティ問題についてはこれまで数々の事例を見てきましたが、何か事故が起きた際、それを出来るだけ早く情報公開することこそが顧客からの信頼性を高める唯一の対応だと感じます。しかし、こと自動車業界についてはそうではないのかもしれません。だとすれば、それはそれで良いのですが、そういう業界がPCやスマホ連動の製品を出しきた場合、それはあまりにも危険すぎてとても手を出したいとは思えないわけです。
警察庁では「サイバー犯罪特別対処班」を7月1日から発足し、初動捜査の一元化を謳っているわけですが、こちらはネットバンク事件などが対象ということでトヨタの事件は捜査対象にはならないのでしょうか。可能であればこの件は、警察の手でもう少し突っ込んだ状況分析と情報公開が行われると見えてくるものがあるのかもしれません。
サイバー犯罪の初動捜査班新設=ネットバンク事件など対応―警視庁(時事ドットコム 2013/7/1)
トヨタは事故対応にもう少し丁寧に対応する会社だと思っていましたし、アメリカでも謂れのない急発進問題などでさんざんやられた経験もおありなので、この手のサイバー問題にもすばやく取り組むかと思いきやこれですので、やはりここはお詫びに定評のあるmixiを買収するなどして謝罪能力の強化に手を尽くしてほしいと願うところであります。