紺屋の白袴的なアレなのかそれともまさかマッチポンプ商法だったのかがなんとも気になる事案について
コンピュータウイルスを観戦可能な状態で放置していたと看做されるサイバーセキュリティ事案が発生し、その推移がちょっと異様なので見解含めてまとめてみました。
しばらく前に国内セキュリティ企業の社員がコンピューターウイルスを不正に保持していたということから不正指令電磁的記録保管の疑いで逮捕されるという事件がありました。セキュリティ界隈でもしばらく騒ぎとなり、また記事のタイトルが「ウイルス保管」であったため、流通するウィルスを研究目的で日常的に保管し派生型を調べて流通経路を特定していく手法を行うサイバーセキュリティの専門家も浮足立つなど、混乱が一部に見られました。
セキュリティー会社員がファイル共有ソフト内にウイルス保管情報漏洩を監視・調査する部署の責任者、容疑で逮捕京都府警(産経WEST 17/10/31)
ファイル共有ソフトを通じて感染するコンピューターウイルスをソフト上で保管したとして、京都府警サイバー犯罪対策課は31日、不正指令電磁的記録保管容疑で、インターネットセキュリティー企業、ディアイティ(東京)社員の男(43)を逮捕した。「悪いことだとは思っていなかった」などと容疑を否認しているという。産経WEST記事の内容のとおりであるならば、セキュリティ企業が研究などを目的にコンピューターウイルスを収集・保管する行為自体は当然あることでしょうし、なぜ逮捕までの極端な展開になったのかはやや訝るものがありました。実際、こうした報道があった時点では企業側も不当な逮捕であるということで反論を公表しておりました。
セキュリティ企業のP2P監視サービス管理者逮捕ウイルスを「Share」に保管会社は反論(ITmedia 17/11/2)
同社は公式サイトトップページに三橋薫社長名で反論を掲載しており、ウイルスの取得・保管は「正当な理由に基づいている」「取得・保管したファイルを他人のコンピュータにおいて実行の用に供する(他人の端末感染させる)目的はない」と、逮捕容疑に反論している。ITmediaこれはいよいよ不思議な状況になっているなと思っていたりした次第ですが、そうした報道があってから約2週間後になってアッと驚くような続報があったわけです。
ウイルスで情報流出被害…社員逮捕の会社(読売新聞 17/11/16)
業務用のパソコンに情報を流出させるウイルスを保管したとして、情報セキュリティー会社の男性社員が逮捕された事件で、このウイルスによる感染被害が出ていたことが捜査関係者への取材でわかった。同社は拡散防止対策をしておらず、パソコンには感染の危険性がある状態で約2000のウイルスを含むファイルが保管されていたという。読売新聞いったい何をしているのでしょう…。
どうやら、自ら集めたウイルスに感染した挙げ句に、そのウイルスをネット中に拡散させていたということのようでして、この話をコンピュータウイルスではなく人間に感染する重大な病気のウイルスの話に置き換えて考えてみれば、とてもあり得ない失態であります。
当該セキュリティ企業は設立1985年とあり、この手の分野としてはそれなりに歴史と実績を積み重ねてきた老舗ブランドでもあるはずなんですが、何か紺屋の白袴のような油断があったのでしょうか。悪意を持って穿った見方をしてしまえばマッチポンプをやってしまっていたという誹りも免れないわけでして、一体どうしてこうなってしまったのかは公明正大に実態を明らかにしてほしいものです。
さすがに意図的にウイルスを拡散させていたというようなことはないと思いますが、このままでは他の真面目にやっている多くのセキュリティ関係者のイメージも一気に悪くしかねません。
報道メディアでは当事者や警察へ取材している記事などもありますが今のところ真相はあまりはっきりせず、最終的には司法の判断に委ねるしかないという流れになっている感があります。
ディアイティ社員が「ウイルス保管」で逮捕Winny、Librahack事件の再来か?(ビジネス+IT 17/11/20)
警察としては、犯罪意図はともかく、ウイルスを感染可能な状態で放置していたことを問題視し、刑法168条の3の適用が可能と判断したようだ。なんともすっきりしない展開になっています。先日の「ドラゴンボールZ ドッカンバトル」の件でも感じたことですが、このところ故意であるかどうかはさておき結果的にユーザーの信頼を大きく裏切ってしまうような事故がIT業界周りで続いているような印象があって気になります。
(中略)
ディアイティは、感染や犯罪の意図はなく業務上必要な行為だった。ただし、運用が適切だったかについては、解釈の違い、設定ミス、その他を確認中。
(中略)
最終的には裁判所が判断することになるだろう。ビジネス+IT
「運用が適切だったか」というのはこの手のビジネスにおいては一丁目一番地で死守するべきもので、企業内のチェック体制で判明して即座に対処されるのが基本であって、今回のように「ウイルス収集した上で、外部に感染させられる状態で保持していました」というのはあまり類を見ません。また、本件とは直接関係はしませんが大手セキュリティベンダーは過去にもコンピュータウイルス対策ソフトの需要を喚起するためにウイルス発生情報があっても故意にこれへの対策を行わず、感染状況を見ながらある程度の被害の拡大を確認してからインターネットセキュリティの危機感を煽るリリースとともに大々的に対応ソフトの発表を行うという事例も疑われておりました。
この手のセキュリティ界隈に携わるベンダーは大多数がこれらの「放流」を行わない善良な組織であり、事例研究でも各社能力いっぱいに活動しても対策しきれないほど現状のサイバーセキュリティの世界では問題が大量にある状態ですから、マッチポンプすること自体にさしたる積極的な意味はありません。一方で、特定の国家の政府機関に強く結びついたベンダーや、当初から何らかの適切ではない意図を持って組成されたハッカーグループと密な連絡を取りうるセキュリティベンダーがこれらの問題の中核にいると示唆されるケースはそう珍しくもなく、実際に決済系やサービス系の大規模システムに時間をかけて浸透しているというレポートも都度都度出回るぐらいには一般的な状況になりつつあるのが現状です。
当局も、これらの問題については過去の勇み足事例のようにならないよう慎重に物事を進めたい一方、蓋を開けてみたら手遅れになっていて情報がごっそり抜かれていたのに、突破の緒になったウイルス情報やトレース情報が消失していて追いかけようがない事例も多数あり、これらへの対策は不可欠です。二言目には「官民連携の強化」という言葉が飛び出すものの、一罰百戒的な方法論で今回のような事例がどこまで有効に作用するのか興味を持って見守りたいと思います。