F-Secureの元社員がネット上で多くの個人情報を流出させたと騒ぎになった。セキュリティの専門家としてこの出来事で疑問に感じた点を挙げてみたい。
にわかには信じられない事件が起きた。セキュリティ会社として世界的にも有名なF-Secureの元社員(事件後に退職)が、信条的に「気に食わない」人の意見に対し、これに「いいね」を投票した一般の人の個人情報を故意に流出させてしまったというものだ。
この事件は様々な意味で興味深く、また今後も事態が変わるかもしれない。事件の底流には現代社会の混沌とした部分や様々な思想、視点によって違う正義などが流れ、複雑化しているようにも思う。今回はセキュリティの専門家としてこの出来事に感じた疑問を挙げてみたい。
事件の経緯は様々なところで報じられているので割愛するが、疑問点は大きく(1)流出情報の入手方法、(2)会社側の対応――の2つになる。
実は、情報を流出させた元社員とはある団体で何度か話をしたことがある。ご本人は覚えていないと思うが、ユニークな性格の方だったと記憶しており、その彼が事件を起こしたと聞いて驚いた。どうしてこういう行為に及んだのかは、本人にしか分からないだろう。ただ、セキュリティ会社の中核を担う社員であり、こういう行為をすることの恐怖は人一倍理解しているはず。本当に残念でならない。
元社員は個人情報をどうやって入手できたのだろうか。このようなことができると思われる裏ソフトは幾つか存在し、Facebookのセキュリティが完璧ではない(セキュリティ自体に完璧はないが)こともある。しかし筆者は、特定の「いいね」をした人の個人情報を簡単に、数百人レベルで入手できる術を知らない。
ピンポイントで特定個人の情報を晒すことは、時間さえあればある程度できるだろうが、セキュリティ業界に身を置く人は、まずそういう行為をしないと筆者は思う。過去の実証実験を除けば、個人的な目的でそういう行為に及んだ人を、少なくとも筆者は記憶していない。そこで考えられるのは次の4つの可能性だ。
まず可能性の(1)、(2)についてF-Secure側は否定をしているので、その真偽を知る術はない。ただ、そもそもピンポイントかつ、「いいね」をした全員を狙ってその個人情報の入手を「実行できる」ということは、論理的にFacebook全ての加入者の任意の個人情報が入手可能ということになる。これ自体が非常に脅威であると筆者は感じている。
Copyright © ITmedia, Inc. All Rights Reserved.