つれづれなる日記 @ maoo.jp

退屈な日々をより退屈な文章でだらだらと

史上最大の流出!

セキュリティ 電気通信事業 ネットワーク
参考
http://d.hatena.ne.jp/maoo/20100625/1277478503
参考
http://d.hatena.ne.jp/maoo/20081225/1230204147

 当然のことながら大騒ぎされている、PSNのあの事件については、

同社のビデオゲーム用オンラインネットワークから流出したのは、ユーザーの氏名、住所に加え、クレジットカードデータも含む可能性がある7700万人分の情報であり、インターネットセキュリティ史上、過去最大の情報流出の1つ

PlayStation Network不正アクセスに19日に気付き、ネットワークを即座にシャットダウンした。ソニーが個人情報の流出を明らかにしたのは26日

Expired

個人的には無関係なのでとりあえず安心ではある。たぶん訴訟とかにもなるだろうし、被害が拡大する可能性も否定できないし、これからも注目すべきとは考えているが。
 この件でとりあえず感じたのは、「ソニー系だからなあ」ということで。もちろん偏見なのだが、根拠まで皆無というわけでもない。昔ここのグループ企業の運営するISP*1利用していたことがあり、まあいろいろとトラブルがあったのだが、あげく管理をやっていたスタッフが利用者のIDとパスワードを漏洩させたのを発見する事態に至り、技術力とモラルが圧倒的に不足している集団というイメージが定着したのだ。
 それについてさらっと書くと、

  1. システム管理者が実装していた利用者用パスワード変更機構があまりにアホすぎて*2、他人でもそのIDとパスワードがある方法により見える状態になっていた。これを偶然に発見。
  2. 自分が知ったそのID=被害者の方にこの事態を簡単に説明したところ、その方がISPに連絡。ちなみに漏洩したIDとパスワードに間違いがなかったことはここで確認。
  3. ISPは当初「そんな事実はない」「勘違いなんじゃないの?」的な返答をしたとのことで、発見者かつ詳細な情報を保持するこちらの連絡先を被害者がISPに連絡。もちろん問題の機構はまだそのまま稼働中。
  4. 待っていたのだがISPからこちらに連絡は皆無。いろいろと闘った過去がある相手だとわかったので話すのがイヤだったんだろう、きっと。自分たちがこの相手からの連絡を無視しまくった過去がある点も、微妙に影響していたのかもしれない。
  5. 一週間くらい経過してからだったか、しかたがないのでこちらから連絡。この件に関する情報を提供すると同時に、これらについてはまもなく公開を行う予定があると通告。ここでISPがやっと事態を認識。
  6. できればすべてを隠匿したかったことだろうが、第三者に情報公開されてからではあまりに立場がまずいと理解したのだろう。そのアホな機構を利用した可能性がある全員にたぶん連絡したはず。
  7. 一利用者としてのこちらに到着した連絡内容しか知らないのだが、パスワード漏洩の可能性があったがもう解決された…みたいに書かれていた。少なくとも1件は確実に漏洩した後と知っていて、しかもそれを素人に発見されたとわかっていて*3、これだ。
  8. 問題の発見から解決まで協力してあげたのに、けっきょく「ありがとう」の一言もなかったこのプロバイダーであるわけだが、ここまでくると運営スタッフ・システム管理者の能力だけではなく人としてのモラルも疑うしかない。
  9. こんなところを利用するのはいろいろな意味で恐怖でしかないため、最終的には解約して逃げた。関わった電気通信事業者でまったく問題を感じなかったパターンなどないけれど、今までの経験で認定した最悪な業者の地位はまだここが死守している。

こんな感じ。前はもっと詳細な資料を公開していたのだけれど、メンテナンスがめんどうになって今はやめちゃってる。てへっ。
 まあそんなわけで、インターネットのこういうサービスでは「まずは誰も信用しない」という基本姿勢がとても大事だと思う。これからも心がけていきたい。できれば君もそうしろ。

*1:参考 So-net

*2:正直、素人がやったとしか思えないレベル。そんなお方がシステムのroot権限を扱っているのかと思うと、冗談ではなく寒気がした。

*3:この件にとっくに気づいていて悪用した人がいてもおかしくない…ってことね。