情報漏えいの内容

　漏えいした情報は「会員ID」「法人名・名字」「ドメイン名」のみだけで、住所や電話番号、メールアドレスやカード番号などほかの情報は漏えいしていないようです。
大した個人情報は漏えいしてないので、大きな問題ではありませんが…。

　しかし、間違えて配信というところが非常に気になるところです。
本来こういった、単純ミスのような間違いは起こらないように対策がされているはずなのですが…。

なお、間違えて配信した対象の人には、メール破棄のお願いのメールを送信しています。

私にも来ていました。他の人宛メールとメール破棄お願いメール

　2014/12/4 20:37に私にもメール破棄お願いメールが来ておりました。
持っていても仕方ありませんので、削除はしましたが…。

　今回のメール誤配信という漏えいはよくあるパターンなだけに、企業側のセキュリティ意識を問いたくなる事故です。

　以上、当サイト管理人のAsterismでした。

コスト削減とセキュリティという名のコスト

　そもそもセキュリティというものはコストそのものであり、セキュリティ会社等でない限り利益を生み出しません。
そしてセキュリティというものは手間がかかりめんどくさく不便なものです。

　例えるなら、家に鍵をかけなければ鍵の開け閉めという手間はいらないですし、鍵代もいりません。
そして、鍵をなくして家に入れなくなるような心配もありません。
しかし、家に鍵をかけるのに理由があります。家に鍵をかけないと泥棒に入るリスクが高くなりますから。

　ベネッセホールディングスの社長であり、元マクドナルドホールディングスCEOであった原田泳幸社長は特にコスト削減を行うことで利益を出すことで有名なようです。

　原田社長は2013年にベネッセホールディングスに取締役として就任し、2014年に社長に就任しました。
コストを削減しすぎ、必要なセキュリティすら「ムダ」として削減してしまってたのじゃないか？と思えて仕方ありません。
「アラートシステムが機能しなかった」とか
「付与済みのアクセス権限の見直しが定期的に行われていない状況も多く見受けられた」などまさにそうでしょう。

ベネッセの場合は内部犯罪？

　情報漏えい事件事故の原因のほとんどは内部にあります。
情報漏えいといえば外部要因を思い浮かべますが、外部から不正アクセスはそう簡単にはできませんし、ウイルス等はウイルス対策ソフトで検出して未然に防げます。
「自分は大丈夫だろう」「内部の人なら大丈夫だろう」という思い込みが原因なのでしょうか？

　今回のベネッセの個人情報漏えい事件も内部の人間が原因です。
(日本ネットワークセキュリティ協会「 2012年 情報セキュリティインシデントに関する調査報告書 ～個人情報漏えい編～ 」)
にありますが、内部犯罪・内部不正は件数としては１．３％と少ないですが、内部が原因の漏えいは90％以上です。

　ちなみにこの報告書はベネッセ情報漏えいがきっかけかどうかは知りませんが、2014年8月12日に更新されています。

ニュースリリースを見て個人的に思ったこと

まずは個人情報漏えいの原因について思ったことを書きます。

「情報セキュリティについてグループ全体で統括的に管理を行う部署が存在しなかった」
大量の個人情報を扱う会社としては大問題です。起きるべくして起きた事件です。
きちんと管理していれば、誰が来るかわからないような、入れ替わりの激しい業務委託先社員が
大量の個人情報にアクセスするなどといったことは起きないでしょう…。

「社内の人間が悪意を持って大量の個人情報を持ち出すことはあり得ないという意識を持っていた可能性が高い」
外部には悪意を持った人間がいるのに内部にはいないと思える根拠はなんなのでしょうか？

「従業員の教育・研修も相当程度行ってきた」
　PCとスマホがUSBケーブルで接続されているところをだれも怪しいと思わなかったのでしょうか…？

　こうやって見てみると、内部犯罪でありながら管理ミスでもあるような気がします。

　次は対策内容について思ったことを書きます。

「データベースの利用は事業会社」
　これではまた漏えいが起きてしまうのでは・・・？

「クライアントPC の仕様を、外部メディアを一切接続できないものに変更する」
　USBポートその他の外部メディア接続ポートがないPCとはどのようなPCなのか？

　他にも緊急対策内容が「漏えいを未然に防止する」より「漏えいしたときに犯人特定を簡単にする」ことに重点を置いていたり、
教育関係の会社なのに社員の教育がロクに出来ていなかったのか？などいろいろ突っ込みどころがあります。
それに、漏えいした名簿を買い取ったジャストシステムが事件に気づき情報を削除を発表したとき、言いがかりのような抗議をしたことや、
「あなたの個人情報の価値は500円です」と言わんばかりの対応にも問題を感じます。

　この歴史に残るような個人情報漏えい事件、今後の成り行きにものすごく不安を感じつつ、見守っていきたい。

脆弱性の内容

　bashと呼ばれるシェル（Windowsでいうコマンドプロンプトのようなもの)の不具合で、
bashを呼び出すことさえできれば(cgiのsystem関数などで)サーバー上の任意のプログラムを実行できてしまうという不具合です。

　この脆弱性はウェブアプリをインターネットで公開している場合に悪用される可能性があります。

　この脆弱性は、致命的な脆弱性のため、いろいろなサイトで取り上げられています。
IPA (http://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html)
@IT (http://www.atmarkit.co.jp/ait/articles/1409/26/news071.html)
ITpro (http://itpro.nikkeibp.co.jp/atcl/news/14/092601079/)

アジャイル株式会社 (http://www.agilegroup.co.jp/technote/bash-update.html)
では脆弱性の試験方法も記載されておりました。

脆弱性のテストをしてみました

　上節のアジャイル株式会社に掲載されていた試験方法を使ってUbuntu 14.04 LTSでテストを行ってみました。
まず、「端末」を起動します。端末の起動方法は一番左上のアイコン「コンピューターとオンラインリソースを検索」をクリックして
「端末」と入力すればアプリケーション欄に端末アイコンが表示されるのでこれをクリックすれば起動できます。

と表示された真っ黒な画面がでてきますので、

と入力します。

と表示されました。これはアウトです！

　echo とは、単にecho の後の文字列を表示するためのコマンドなのですが
問題になるのは、'　'で囲まれた中
これは文字列を意味するので、コマンドではありません。
にも関わらず、「vulnerable」と出てきてしまったのが問題なのです

試しに、この脆弱性を使ってgeditを起動してみます。

・・・
起動してしまいました。

Ubuntuの更新後、再テスト

　幸いにも2014年9月27日現在にはすでにUbuntu14.04 LTSではbashの脆弱性に対応したパッチが提供されていました。
さっそくUbuntuの更新です。
GUIでわかりやすく更新してみます。

　システム設定→詳細で、詳細ウインドウを表示します。



右下のボタンが「更新をインストール」となっていたら、即インストールします。
(しばらく更新していませんでしたので、再起動が必要でした)

再び「端末」を起動して、もう一度

と入力します。
今度は、

と出てきました。これで一安心です。

まとめ

　今回の騒動は、コンピュータを外部(インターネット)に公開していない場合はあまり脅威ではない騒動ですが、
ウェブサーバー等で外部に公開している場合、脅威になります。

　LinuxはPC以外にもいろいろなインターネットに接続する機器(ルータやWebカメラなど)にも搭載されています。
機器のメーカーから新しいファームウェアが公開されたら即アップデートしてください。