セキュリティリスクとモチベーション

もう、驚くことも少なくなった、個人情報の漏洩ニュース。

発生状況は国内だけでも相当なものだ。(文末参照)
ほとんどが紛失系なのだけど、「不正アクセス系漏洩」も後を絶たない。

紛失と違って、不正アクセスの場合は、不正アクセスしようとする人がいて、不正アクセスされると大いに困るサイトがあって成り立つ。
そして、通常、企業規模が大きければ大きいほど、より強固な不正アクセス対策をしている。

興味深いのは、中小規模のサイトもそこそこ被害にあう一方で、巨大サイトの被害も無くならない。
これが、ピッキング犯罪なんかだと、ひたすら狙いやすい一般家庭が被害にあう。
これは、狙う人達が、犯罪ではあるものの一種のビジネスのように「効率性」を働かせるためで、何も、警備が厳重な銀行を狙う必要は無いからだ。ピッキング犯罪の目的は「お金」なのだ。

一方、不正アクセスは、中小サイトに留まらず、巨大サイトも被害にあっている。
単純に「個人情報の不正入手によるビジネス」であれば効率が良くて、かつ、捕まるリスクの少ないシステムを狙えばいいのに、巨大サイトも被害にあっているのだ。

と、ようやく本題なのだけど、ちょっと前にニュースになったけど、SONYサイトがハッキングされた。
ハッキングする側から見ればリスクは大きすぎるはずなのに、これに挑む連中のモチベーションは何なのか。あるいは、先日は、Appleに不正侵入してその証拠をハッカー集団が公開した。

ピッキング犯罪と違い、金品を得るのが第一優先の犯罪者ではないのだ。

彼らが金品を得る事と同じ、もしくはそれ以上に大切にしている事(モチベーションの源泉)は、
1.強固なセキュリティを破ることができるスキルを誇示すること
2.同じようなスキル至上主義的な価値観のコミュニティから一定の敬意を得ること
なのだ。

例えば、食糧危機を救うための募金を集めているグローバルなサイトでも、クレジットカード情報が取り扱われている。が、彼らはそういうサイトは通常は狙わない。
ネットのコミュニティから嫌われたくないのだ。

一方、SONYはPS3をオタクたちがカスタマイズして使うことを徹底的に排除しようとした。
それが原因で、ネットのコミュニティ(もちろん一部だけどネット文化としては主要な派閥と言える)がSONYを嫌悪する空気が充満していた。

そんなSONYへの風当たりを感じての不正アクセスだったのだ。
だから彼らは得意げに不正アクセスの成果を発表し、今後も不正アクセスを継続するとの宣言までする。
一部の国では関わったとされる若者が逮捕されたりしたが、ハッカー集団とは関係なかったようだ。


これは、一種の政治闘争のようだ。
ネットカルチャーのあるべき姿を追求していると思っているハッキング集団と、ネット以前の経済主義を持ち込む大企業。

セキュリティの基本は、強固な鍵をかけると同時に、犯罪者に目を付けられないように目立たないことだ。銀行なら、本当に守りたい金庫は、入り口すぐのATMの隣には置かない。
ネットで、目を付けられないようにするということは、ある程度、ネットのカルチャーを理解し、相互扶助的な部分に対しても貢献しなければならない。
間違っても、「うちのサイトは安全完璧だ」キャンペーンなんか打ったら、あっという間に陥落するだろう。目立ってはいけない。


ネットは、そこに生きると感じている人々にとっては明らかに彼らが属する社会であり国家だ。
企業は「社会貢献」が必要なように、ネットで企業活動を進めるのであれば、ネット社会に対して何らかの貢献を認めてもらわなければ、なんかの拍子にターゲットにされるだけだ。

リスク管理の項目に、ネット社会、ネットカルチャーへの貢献、も含まざるを得ない。
ネットはツールではない。ひとつの社会・コミュニティだ。
企業は所属するコミュニティに意識的に貢献することが必要だ。

※はみ出し
昔ながらの暮らしを続けている離島なんかでは、ピッキングどころか空き巣もない。
そして、現在も、鍵どころか玄関や部屋を仕切る戸がない家で暮らす島がある。
沖縄県渡名喜島村。「戸が無い島」が島の名前の由来だそうだ。
本当は、こんなコミュニティがいいさー。



【最近のセキュリティ事故】
ソース→http://www.security-next.com/category/cat191/cat25
2011/07/01
カードローン契約者の顧客情報含む書類を紛失 - 京都信金
2011/07/01
営業先担当者の電話番号など含む業務用携帯電話を紛失 - 名古屋市交通局
2011/06/30
顧客情報含む携帯端末を紛失 - 中部電力
2011/06/28
患者情報2万4000件含むUSBメモリが所在不明 - 慶大病院
2011/06/28
シニア向け情報提供サイトで会員情報が一時閲覧可能に - 一部カード情報も
2011/06/27
ATM取引データが記録されたCD-Rを紛失 - 宮崎太陽銀行
2011/06/27
JCBの「エコ・アクション・ポイント」サイトで個人情報を誤表示 - 原因はログインプログラムの不具合
2011/06/24
個人情報記載のコンクール受付画面が一時閲覧可能に - 埼玉県舞踊協会
2011/06/23
患者の個人情報や検査結果含むHDDが盗難 - 北大病院
2011/06/22
生徒の個人情報含むUSBメモリを出張先で紛失 - 富山高専
2011/06/21
セガ欧州子会社に不正アクセス、約129万人の顧客情報が流出
2011/06/21
メール誤送信で会員のアドレス500件流出 - 映画クーポンサイト
2011/06/20
生徒の個人情報含む私物USBメモリを紛失 - 横浜市の中学校
2011/06/20
顧客情報含むPCとHDDを電車内で紛失 - 日本通運