無縫地帯

KADOKAWAのサイト改ざん報道に感じた違和感は何なんでしょうか

KADOKAWAの公式サイトが外部からのクラックにより改ざんされ、サイト内にマルウェアが仕込まれた件で、公表の遅れその他が気になりました。大丈夫なのでしょうか。

山本一郎です。私の実名も改ざんされそうです。むしろして欲しいです。

ところで、1月15日の夜、なんとも不思議な感覚に襲われる見出しの付いた記事が報じられました。

ある国内大手出版社、悪質なiframe仕込まれる、閲覧者が「Gongda」の餌食に(INTERNET Watch 2014/1/15)

見出しを見る限りはどう考えても炎上を狙っているとしか思えないような印象を与えますが、記事の中身自体は深刻なセキュリティ事案についてとなっています。

このマルウェアは日本のユーザーから情報を盗み出すために作成されたマルウェアで、2つのオンラインバンキングサイト、3つのオンラインショッピングサイト、3つのウェブメールサイト、3つのゲーム/動画サイト、14のクレジットカードサイトを含む日本語サイトがウィンドウに表示されているかどうかを監視。窃取した情報を、あらかじめ設定されたウェブサイトに送信するという。その際、平文で送信されるため、傍受されると容易に読み取られてしまうとしている。INTERNET Watch
INTERNET Watchともあろう媒体が、なぜネットに蔓延る低俗なまとめサイトのような下世話とも思える見出しを採用したのかその真意は中の人でなければ分かりませんが(※註:褒め言葉です)、この問題の原因は記事のソースとなっているセキュリティ対策会社シマンテックの発表に負うところが大きいのかもしれません。

日本の大手出版社の Web サイトが Gongda 悪用ツールキットに利用される(シマンテック)

シマンテックは最近、日本のある出版社の Web サイトに、悪用ツールキットがホストされている別の Web サイトに誘導する悪質な iframe がインジェクトされていたことを確認しました。この出版社は、書籍や雑誌、漫画、映画から、ゲームまで取り扱っている大手です。シマンテック
この時点で同事件の内容を知ることができる一次情報はシマンテックのブログしかないのですが、同社がどのサイトでこのような事態が発生しているのかを明らかにしなかったため、INTERNET Watchとしてはあのような表現しか出来なかったと想像されます。問題のサイトを閲覧したユーザーはオンラインバンキングの情報漏洩をもたらすマルウェアに感染した可能性もありましたが、シマンテックはそうしたユーザーへの情報提供をすることなく、ただ同社のセキュリティ対策ソフトを使えば安全という宣伝に終始していました。

結局、この問題のサイトがKADOKAWAのサイトであったことは翌16日の午後にプレスリリースが発表されることで明らかになりました。

弊社ホームページ改ざんに関するお詫びとご報告(KADOKAWAプレスリリースPDF)

こちらのプレスリリースの内容はやや残念なもので、サイト運用サーバからは利用ユーザーの個人情報流出等無かったということが強調されていますが、実際に仕込まれていたマルウェアに感染した場合具体的にどのような被害がもたらされる可能性があったかは一切触れられておりません。どのような脆弱性があったかは専門的な用語でリストされていますが、これを一般ユーザーが見て何が起きるかを理解することはかなりむつかしいでしょう。

もちろん、どうせやるからには秋田書店ぐらいの飛距離を期待したかった、という部分はないでもありませんが。

その後、各報道メディアがこの事件を報じましたが、ページ改ざんが行われていた1月7~8日から、多くのエンドユーザーにその事実が知らされるまでには1週間以上が経ってしまっており、その間にマルウェア感染したユーザーがネットバンキングを利用して被害に遭った可能性があることは否定できません。

閲覧で感染?「KADOKAWA」サイト改ざん(読売新聞 2014/1/17)
角川HP改ざん 閲覧者感染のおそれ(NHKニュース 2014/1/16)
KADOKAWAの公式サイトが改ざん閲覧者がマルウェア感染の恐れ(ITmedia 2014/1/17)

それにしても、シマンテックはいち早く情報を察知しながら、なぜ改ざんサイトの具体名をその時点で公表しなかったのでしょうか。今回のような深刻な被害が発生する可能性のある事例であれば、KADOKAWAのリリースを待たずに発表しても良かったのではないかと思います。もちろん経緯や考えはいろいろあったのかもしれませんけど。

やや異なる事例との比較になってしまうのですが、たまたま同じようなタイミングでベビーカーのリコールに関する報道がありました。

ベビーカー不具合 公表遅れけが(NHKニュース 2014/1/16)

東京のベビー用品メーカーが部品が壊れる不具合が続いたベビーカー、およそ2万3000台をリコールしました。
この製品については、1年前に改良していましたが公表せず、その後、改良前の製品で子どもがけがをするケースが相次いで起きたということで、メーカーは「安全基準は満たしていた」としたうえで、公表の在り方については今後、検討するとしています。(中略)製品事故に詳しい中村雅人弁護士は「重大事故ではないから報告しないというのは行政のほうだけを向いているメーカーの発想だ。1~2週間のけがをする事故が起きるかもしれないことを消費者に伝えないと自己防衛できない。消費者のほうを向いた企業の在り方が問われている」と話しています。NHKニュース
サイト改ざんにまつわる話はKADOKAWAも被害者であり、ベビーカーのリコール隠しと同列に見てはいけないのかもしれませんが、最終的にエンドユーザーに対してどう接するかという点では本質的に何も変わらないのではないかと思いますし、また知っていたのにそれを知らせずにいたシマンテックの企業姿勢も問われるべきものがあるのではと感じた次第です。

やっぱり、厳しい冬をしのぐための技術は秋田書店に学ぶべきだと思うんですよね。見てください、このリリースを。

週刊少年チャンピオン編集部(twitter)

新しい日本のスタンダードを築きつつある秋田書店に惜しみない拍手を送りたい気分で一杯です。真面目にやれ馬鹿。