不正アクセスの手口を公開しない理由

格闘の日々の人がその前のエントリで書いている「原因を公開したらWeb管理者とクラッカーの競争になる」という話については以前書いたけどケースバイケース(参照:セキュリティホールを見つけたら)。価格.com のケースではどうなんでしょう?

【単独インタビュー】「当社が不正アクセスの手口を公開しない理由」,カカクコムの穐田CEO(日経IT Pro) より:

−−詳細な攻撃方法ではなくとも,問題となりそうなポイントだけでも明らかにすべきではないか。

 もちろん,侵入手口を公開し,皆で情報を共有すれば今後の不正アクセス対策に役立てられることは理解している。だが,仮に手口を公開した場合,その対策を取るまでに企業側はどうしても時間がかかる。万全なセキュリティ体制を固めるまでに,最低でも数日,場合によっては数カ月かかるだろう。
 半面,クラッカーの方は手口を知ってしまえば,すぐに攻撃をしかけられる。同じ情報を知った場合,企業とクラッカーでは対応時間が圧倒的にクラッカーに有利。だからこそ,情報公開について慎重にならざるを得なかった。

−−とはいえ,手口の一端を公開すれば他社のセキュリティ対策に役立てられるのではないか。

 情報を開示することで,同じぜい弱性を持つ可能性のある他サイトへ対策を促せるという意見も分かる。だが,これまで述べたように公開するデメリットも多かった。最後は,情報開示をしない方が被害の拡大を抑えられると判断した。

手口の一端すら公開できないというのは相当なこと。しかも犯人はまだ捕まってないんでしょ?

その判断が正しかったのかどうかはいずれ問われるべきだと思うのですが、価格.com 側は「手口は今後も公開しない」と言っています。

社会のために状況判断して非公開にしたと主張するのなら、その判断について社会に対して責任があると思うのだけど。責任持てないのなら IPA なりなんなりしかるべき組織に判断を委ねればいいのに、IPA にも詳細は伝えてないというし。もうなにがなんだか。

もっともこの判断は「同社だけの判断ではなく,警視庁からも話さないよう指示されているという」ということなので警視庁にも責任があるようですが。

いずれにせよ情報公開できず被害者も第三者も裏をとれない段階で「当社に過失はない」とか言われても困りますね。信頼を失いつつある状況で根拠も示さずに信頼して下さいってねぇ。。。

参考: 「価格.com事件」その後 〜『サイト再開』から『単独インタビュ』まで〜(日経IT Pro)