コンサルタントコラム

アノニマスは電気羊の夢をみるか

2011年07月06日

プリンシパルコンサルタント

内海 良

プリンシパルコンサルタント 内海 良
こんにちは。夏本番を迎え、毎日の自転車通勤が辛くなりつつある内海です。

今回は先日発生したソニー社の情報漏洩事件について書きたいと思います。これは一般のメディアでも大きく取り上げられた事件でしたね。

事件の被害者は1億人を超え過去最大。被害額は2兆円にのぼるとみられ、まさに桁違いの漏洩事件です。

まず今回の事件の特徴として以下の二つの点が挙げられます。

1. 内部犯行ではない外部の悪意を持った何者かの行為であること
2. アノニマスの犯行が疑われている事

これまでの情報漏洩事故の8割は内部犯行と言われてきました。外部犯行としてこれだけ大きく取り上げられるのは珍しいケースです。

そしてアノニマス。

アノニマスと訊いてピンと来る方は情報通ですね。最近よくメディアに出てくる名前です。チュニジアのジャスミン革命でもエジプトのムバラク政権打倒の場面でも登場しました。民衆の反政府デモの陰で政府Webサイトにサイバー攻撃を仕掛け、混乱に陥れることで革命の実現を後押ししています。

【アノニマスは組織ではなく集団】
--------------------------------------------------------------

アノニマスは一言でいえばインターネット世界での情報の自由を標榜する集団です。組織ではなく集団というところがポイントで、彼らには入会手続きなどは存在しません。ただ純粋に彼らの思想に賛同すればOKです。

彼らが利用する情報交換ツールなどで誰かが「○○政権がネットの情報統制を行っている。明日の14時から攻撃しよう」という呼びかけをすると、それに呼応した世界中の人たちが攻撃を仕掛け、政府の運営するウェブサイトをダウンさせたり、侵入を試みたりする。誰が、いつ、どのように攻撃するかは重要ではなく、結果がすべて。そして彼らは必ずターゲットありきで狙いを定めて行動するのです。

では今回、ソニーは彼らのターゲットになるようなことをしたのでしょうか?

調べてみると答えはYesです。

【今回の事件からの学び】
----------------------------------------------------------------

ソニーがこのハッカー集団ともいわれるアノニマスとの不毛な戦いに足を踏み入れるに至った経緯は長いので省きます。ただ、その中で被害を小さく抑えられたであろうポイントもいくつか散見されますので、以下にまとめてみましょう。

(1) 初動対応
もともと今回の事件の発端は、ある青年がプレイステーション3のハッキングを試みたことに始まります。ただこういった行為自体は別に珍しいことではありません。世の中、様々なゲーム機や携帯電話を自分好みに改造しようとするハッキング行為は日常茶飯事で行われています。

最初の課題は、この青年がウェブサイトであるハッキング手法を公開したことに対し、すぐに会社としての態度を表明しなかなったことです。メディアから取材を受けた際にも明確な意思表示をしませんでした。これで世界中の愉快犯はソニーはハッキング行為に寛大だ、という認識のもと、行動をエスカレートさせていきます。

(2) 訴訟対応の範囲
青年のウェブサイトでの公表から3週間後、ソニーは刑事訴訟を起こすに致ります。この裁判のなかでソニーは青年のみならずハッカーコミュニティ全体を批判し、ハッキング方法の公開手段となったYoutubeやTwitterの閲覧者の情報公開を迫ったのです。

これが情報の自由を掲げるアノニマスの怒りを買うハメになり、アノニマスは#OPSsonyと名付けた作戦名とともに宣戦布告文を発表します。

布告文をあえて掲載してみましょう。英語で書かれていますが、関わりたくないと思わせるブキミな内容です。ここからソニーとアノニマスの泥沼の戦いが始まっていきます。(社内セキュリティによってはブロックされ閲覧できない可能性があります。)

4月3日に掲載された宣戦布告文

(3) 情報公開
不正アクセスが発生してからメディア発表に至るまでに1週間を要しています。それほど遅いとも思えませんが、それでも米連邦議会では発表の遅れについて批判されているようです。得てして批判には「日本企業はいつもそうだが」という枕詞までつけられています。

(4) 情報公開手法
ソニーは、情報漏洩が外部からの攻撃であると認める発表をブログで行いました。記者会見でも公式サイトでもないブログでの発表が「意図的に情報を隠そうとした、顧客への告知責任を果たそうとしていない」と取られ、大きな批判を集めました。

【重大事故対応の3大原則】
----------------------------------------------------------------

それでは今回の事件ではどのような対応をとればよかったのでしょうか。技術的な対策についてはゼロデイ攻撃やSQLインジェクション対策などいろいろありますが、それは省き、アナログ的な対応に焦点を絞って挙げてみましょう。

まず予防策としては、攻撃目標となるような行動は避けること。(実際に対策としてソニーは、経営の観点からセキュリティを統括するCISO(Chief Information Security Officer)を迅速に設置しています。

そして事後対策は以下が3大原則です。

  • 迅速かつ透明性のある情報開示
  • 情報の一元管理と会社トップによる説明責任
  • 被害拡大の防止、二次被害の防止

これはどのような事故であれ対応の基本原則となります。
いつ自社がこのような事態にさらされるかはわかりません。

リスク管理の有効な手段として、対応方針だけでも社内で確認してみてはいかがでしょうか?