ラックの扱われ方に見る脆弱性調査のあり方

 投稿日時
2015/03/06 18:33:37
 最終更新日時
2015/03/19 18:38:47

SQLインジェクション判決が広まりを見せています

先日、以下の記事を書きました。

・SQLインジェクション脆弱性の有無が重過失の判断に影響を与えた判決
 http://www.crosszeal.co.jp/blog/20150209_sqlインジェクション脆弱性の有無が重過失の判断に影響を与えた判決.html

この記事にも書いたとおり、北海道大学の町村先生、HASHコンサルティングの徳丸先生のエントリでこの件を知りブログを書いたわけですが、同じ方々も多いようで、この判決に関する情報や意見が検索で多くヒットするようになりました。
中には「脆弱性が一つでもあったら損害賠償が認められる」といった誤っている認識であったり、「SQLインジェクション対策をしたら費用が多くかかってしまう」といった首をかしげる意見もありますが、こういった情報が広まるのは良いことだと思います。今後広まっていく中で、正しい認識も広まることを期待したいと思います。

さて、今回のブログでは、前にも少し触れましたが判決の中でかわいそうな書き方をされているラックについて触れたいと思います。

株式会社ラックはどんな会社か

ITセキュリティに関わる人間でラックを知らない方はほぼいないと思いますが、ご存じない方のためにラックについて書いておきます。

株式会社ラックは2007年に設立された会社ですが、その基は1986年と1987年に設立された会社であり、IT業界の会社にしては長い歴史を持っています。ホームページによればそのサービスは以下の通りです。

  • セキュリティ診断サービス
  • セキュリティ監視・運用
  • コンサルティング
  • スマホ・クラウド
  • ビッグデータ
  • ソリューション

これを見ても分かるように、セキュリティに力を入れている企業であり、何かセキュリティインシデントが発生した際にはブログなどで注意喚起を行ったり、イベントでも数多く講演を行うなど、業界全体の発展に寄与している企業だと思います。

最近では、個人情報が流出してしまったベネッセと合弁会社を設立するというニュースでも話題になりました。

ラックは判決の中でどう出てくるのか

前置きが長くなってしまいましたが、今回の事件にどのようにラックが関わっているのか見てみましょう。
前の記事でも述べたとおり、今回の事件ではどのように情報が漏洩したかが重要なポイントとなっていました。ラックとベライゾンビジネスは、その調査を依頼されたと考えられ、その報告書が判決に載っています。その報告書の内容はまとめると以下のような内容です。

  • SQLインジェクションに対する脆弱性が確認された。
  • 被害件数は不明だが、全件が漏洩した可能性が高い。
  • 個人情報が記載されたファイルの閲覧が可能である。
  • クロスサイトスクリプティングが可能である。

この内容に問題はありません。
問題となるのは、裁判所の判断の部分です。私が見ていて驚いた部分を見てみましょう。

(略)被告は、(略)ラックが本件流出の原因調査の際に、本件流出について被告に責任があることを前提とした発言をするなどしたことから、ラックは被告に対して不当な先入観を有しており、ラック報告書は信用性を欠く旨、ベライゾンビジネス報告書でも本件流出の原因は特定されていない旨を主張する。(略)
(略)被告が主張する、ラックが本件流出の原因調査の際に、本件流出について被告に責任があることを前提とした発言をしたなど、ラックが被告に対して不当な先入観を有していたことを推認させる発言等の存在を裏付ける証拠はないから、ラック報告書が信用性を欠く旨の被告の上記主張は採用できない。(略)

これ以外の詳細は書いていないため、ラックがどういう発言をしたのかは分かりません。ただこれを見る限りでは、具体的に調査を行う前に、原告ではなく被告に責任がある可能性が高いと言ってしまったのでは無いかと思います。
その発言が適切であったかどうかは分かりませんが、その発言が「不当な先入観を有して」いたと被告に思わせてしまったのでしょう。

このようにラック報告書の信用性に疑いを述べながら、「大手調査会社(ラック)ですら、本件データベースへの侵入経路及び侵入手法は解明できていないから、本件流出は、専門業者の技術レベルを超える想定不可能な方法によって行われたものであり」「ラック作成の報告書でも、サーバーには問題点が存しなかった旨が報告されており」といいとこ取りをされており、被告からのラックの扱われ方には悲しさを覚えます。

調査会社はどうするべきか

この件はコミュニケーションで誤解が生まれた(もちろん被告側がわざとそういう扱いをしていることも考えられますが、それを考えるのは止めておきます。)哀しい事例ですが、調査会社はどうするべきかという教訓を与えてくれます。

それは、「不当な先入観を有していると思われる発言を調査前にしない」ということです。例えば、「何回か調査したことありますが、こういう場合は大抵プログラムが悪い」とか、「たぶん原因は○○です」といった事柄です。経験がある方ほど予見がきくと思いますが、そこはぐっとこらえて、調査報告書に全てを込めてください。

これは裁判の証拠となるような調査だけではなく、一般的なアプリケーションの脆弱性調査も同様かも知れません。調査担当の方はご注意ください。