ここ数年のプライバシ情報流出と企業の対応
ここ1,2年、すごい勢いでアカウント情報やパスワード漏らしちゃいましたという事件が起きている。
しかも、確固たる規模、知名度を持った企業から流出している。
事件が増えたことより、どっちかというとこれに対する企業の対応がどんどんまずい方向に向かっている気がする。
最初にここ最近起きたお漏らし系事件をまとめてみよう。
もちろん他にもいろいろあるが、日本人が比較的使っていて、有名な企業名だけピックアップしてもこれだけある。
- Yahoo! JAPAN 2200万
http://www.itmedia.co.jp/news/articles/1305/18/news008.html
パスワードリセット。
流出対象IDかを確認する公式ツールなどをYahoo! JAPANが提供。
- Adobe 1億5200万
http://itpro.nikkeibp.co.jp/article/IDG/20131031/515124/
パスワードリセット。
流出対象ユーザにメールで通知。
- Linkedin 650万人
http://itpro.nikkeibp.co.jp/article/NEWS/20120611/401281/
パスワードリセット。
流出対象ユーザにメールで通知。
- NAVER 169万2496件
http://www.atmarkit.co.jp/ait/articles/1307/19/news130.html
流出対象ユーザにメールで通知。
- NTTCom 400万件
http://itpro.nikkeibp.co.jp/article/NEWS/20130724/493944/
流出対象ユーザにメールで通知。
ほとんどの企業は、パスワードをリセットしてユーザに通知というパターンだ。
まあ、これぐらいしかできない、というのが現実でしょう。
ただ、そのスピード感や誠実さがすごく低いと感じる。
最近ひどかったのはAdobe。
凄まじい数のアカウントを漏らしたわけで、自分もAdobeのアカウントは持ってたのだが、いつまでたっても通知が来ない。
サポートも平日、日中のみ対応で、サポート権使って、要は金を払わないとメールで問い合わせることもできない。
これだけの事件を起こしているのに、専用の窓口も作らなかったのである。(事件の報告ページはあるが、問い合わせ先は普通のサポセン)
で、挙句の果てにEvernoteから先に、あんたのアカウント漏れてるんでAdobeと同じパスワード使ってるんなら変えてね、という通知来る始末。
それから数日経ってようやくAdobeから通知メールが来た。
この辺について、以下の記事が面白い。
http://www.itmedia.co.jp/news/articles/1311/27/news067.html
「メールでの通知に、予想よりも時間がかかっている」
「攻撃の影響を受けたメールアドレスを検証しなければならず、一度に送信する通知の数も制限する必要がある。メールプロバイダーにブロックされたり、スパムとしてタグ付けされたりしないようにだ。」
え?
あんたたち宣伝のメールはしょっちゅう送ってきてるのに、なんで送信数制限とか言っちゃってるの?
大体、Creative Cloudとか言って、クラウドでアセット管理するとか言ってる企業がそんなこと言ったら、それに足る技術持ってません、って言ってるのと同じだよ。
これにはさすがに呆れた。
どうせAdobe製品は競合も少なくロックイン済みだから少々適当に扱っても大丈夫、とかいう幹部の声が聞こえてきそうだ。
今後怖いのはこういう誠実さの欠如で、事前、事後処理が適切に実施されなくなることだ。
SONYのアカウント流出の時を思い出してほしい。
この時、SONYはPSNをシャットダウンして調査、対策を完全に完了するまでサービスしなかった。
というよりできなかった。
経産省が介入したから。
こういう自体には政府系機関が介入するべきと思う。
企業からすると利益優先のためできるだけ早くサービスを復旧させる方を優先してしまう。
これは、長くサービスを止めればそれだけ売上が減り、長く対策に時間をかければコストがかかるという構造上そうなってしまう。
だからなんらかの強制力を働かせるしかない。
SONYの一件以外では、こういう話を全然聞かない。
行政指導を入れたという話すら聞かない。
その結果、多くのサービスが「漏れちゃいました。ごめんね。パスワードリセットしといたから。」で終わりになってる。
ちゃんと、解析して対策してるかも怪しい。
こんな危うい状況なので、政府にはぜひ対策を打ってもらいたい。
サイバー攻撃に反撃する部隊なんかに金投じてる場合じゃないよ。
まとめ
- 情報流出をとりまく状況は思っている以上に危機的
- 今のところ自分で守る以外ないので、サービスにアカウント登録する、クレカ情報を登録するのははできるだけ控える
- 政府は、この状況を認識して事故発生に対するマニュアルや罰則を設けるべき
Leave a comment