今日のWASフォーラムのカンファレンスで、講演とパネル討論の席で、私はこういう発言をした。「情報漏洩の原因の8割が内部犯行と言われるが、最近は、内部向けの顧客情報システムがWebアプリで構築されるようになってきているのではないか」と。
先日執筆して今日掲載されたNIKKEI NETのコラムにも、同様の趣旨のことを書いている。
内部犯行にも技術的対策は不可欠
「個人情報流出の8割は内部犯行が原因」という話をよく耳にする。筆者が技術的な観点からWebアプリの欠陥の問題の重要性を唱えたとき、「そんなことより内部犯行対策の方が重要ですよ」と言われたことがある。しかしどうだろうか。最近では、社内システムがインターネットの技術で構築されるようになり、内部向けの顧客管理や苦情対応のシステムが、Webアプリで作られることも多くなってきているのではなかろうか。
内部犯行を防ぐため、パスワードを与える社員を少人数に限定することが重要と言われているが、いくらパスワード管理を徹底したとしても、Webアプリにずさんな欠陥があったのでは、パスワード入力なしにどの社員でもなりすましによるアクセスができてしまう。
じつは、社内向けシステムのうち、社員の出勤管理等のシステムについては、Webアプリで構築されることがかなり多いだろうという確信はあったが、顧客管理や苦情対応のシステムまでもが、本当にWebアプリで作られるようになってきているかは、確信を持てていなかった。何人かの業界の知人に「どうですかね?」と尋ねてみて、そこそこそういうケースも出てきているという程度の情報を得ているだけだった。
そういうところに、今日、日経コンピュータのこんな記事が出ていた。
想定しているのは、コールセンターやカスタマ・サービス部門など、Webアプリケーションで顧客情報を扱っている社内での利用。マンスーリ社長兼CEOによれば、「名前は言えないが、日本の大手ユーザー企業のコールセンターが昨年導入し、すでに利用を始めている」。
いやはや、やっぱりそうなってきているのか。
それとの関連性は別にして、そういえばこういう報道があったことを思い出す。
容疑者はこの席で、ヤフーBBの加入者情報の一部を印刷したA4判の紙を1枚見せたうえ、「システム上の欠陥が原因で流出した」と説明。「システム修復のための対策を講じた方がいい」と持ちかけたという。
これは、まあ、そう言っているだけなのかもしれないが。
携帯電話番号がメールアドレスになるショートメッセージサービス(SMS)でメールが届き、開くとアダルトサイトにつながり、法外な料金請求を迫られる被害が宮城県で急激に増えている。メールは無差別に送り付けられており、知り合いからのメールだと勘違いして、不用意に読んでしまう心理を突く新たな手口。仙台市消費生活センターは「ワン切りメール」と名付け、注意を促している。
という記事が出ていた。4月24日の日記に書いた件だ。
しかし、「ワン切りメール」というネーミングはわけがわからない。何が「ワン」で何が「切り」なんだか。
仙台市消費生活センターのサイトに詳しく出ていた。
このような事例は、ちょうど「ワン切り」の事例 − 携帯電話の着信履歴を見て折り返し電話したところアダルト番組につながり、番組を利用したとして電話請求を受ける − と手口がよく似ており、勧誘手段がメールに変わっただけなので、 いわば「ワン切りメール」とでも表現できる手口と言えます。
単にサイトにつながっただけで有料の契約は成立しませんし、何らかの誤操作等により「登録完了、料金を払え」 と表示されたとしても、それだけで料金の支払義務が生じないのは「ワン切り」と一緒です。
はぁ、まあ、たしかに、相談者に「ワン切りと同じですよ!」と簡潔にアドバイスできるという点で、都合のよいネーミングではあるなあ。
今のところ「ワン切りメール」と称しているのは仙台市だけのようだ。もっとセンスの良い呼び方はないものか。
ICタグを貼付した書籍を使い、万引きされた書籍のリサイクル書店への流通を防止できるかどうかを検証する。
この目的の場合、通信距離は数ミリで十分だ。実験では何メートルなのだろうか。
あらかじめ書籍に貼付したICタグには、代金支払済みか未払いかの情報を格納してある。
タグのIDからネット経由で検索するのでなしに、タグ内に情報を格納するのだろうか。書き換え防止機能はあるのだろうか。書き換えてしまえるなら、買い取り防止にならない。
というか、「防止できるかどうか検証する」というが、セキュリティの検証をしないのなら、実験するまでもなくできるにきまっている。まあ、やったという事実が重要なのだ。しゃんしゃんしゃん。