パナマ文書はなぜ流出したのか--企業が学ぶべき最大の教訓

　パナマの法律事務所、Mossack Fonsecaから流出したパナマ文書は、調査報道の世界にとって望外の贈り物となった。1150万件に及ぶ文書が記録された2.6テラバイトのデータは、まさに無尽蔵とも言える特ダネの宝庫だからだ。ジャーナリストたちが膨大な文書の精査を進めるにつれ、租税回避に手を染めた人物や企業の名前が続々と明らかになっており、今後パナマ文書からどれだけの衝撃的な発見がなされるのか、予断を許さぬ状況である。

　社会や政財界に対するパナマ文書の影響を分析した記事は、すでに枚挙にいとまがない。そこで本記事では、パナマ文書の流出から企業のIT部門が学ぶべき教訓に焦点を当ててみようと思う。

　史上稀に観る破壊力を秘めたパナマ文書がMossack Fonsecaからどのような経路で流出したのか、数多くの専門家や解説者が多種多様な自説を披露し解明を試みている。パナマ文書を最初に報道したドイツの新聞社、Suddeutsche Zeitungによると、パナマ文書を同紙に提供した人物は、文書の入手経路は明かさなかったものの、動機について「これらの犯罪を公にしたかった」と語っていたという。

　一方、Mossack Fonsecaの共同設立者であるRamon Fonseca氏は、身元不明の攻撃者によるハッキング被害に遭ったと主張している。現時点では内部犯行の可能性も否定されていないパナマ文書の流出だが、より説得力があるのは、セキュリティ対策の不備が攻撃者の侵入を許したという可能性である。

数年前から蔑ろにされていたセキュリティアップデート

　今さら言及するまでもないことだが、セキュリティアップデートの迅速かつ確実な適用は、規模の大小を問わずあらゆる企業にとり、組織の命運を左右しかねない最重要事項である。しかし現実には、経営陣がセキュリティアップデートの重要性を理解していないがために、IT部門のリソースが不足し、適切な対応ができないという事態が頻繁に発生する。

WordPress 4.1（2014年12月18日リリース）

　Mossack Fonsecaの公式ブログは「WordPress 4.1」を使用していたとみられる。このバージョンは単に古いだけではなく、緊急度の高い脆弱性を数多く抱えていた。WordPressはプラグインへの依存度が非常に高く、さまざまな問題を引き起こすことで有名だ。とはいえ、Mossack Fonsecaが放置していたセキュリティ上の不備は、WordPressやそのプラグインだけには止まらなかった。

Drupal 7.23（2013年8月8日リリース）

　パナマ文書の流出が最初に報じられた時点で、Mossack Fonsecaはクライアント用ポータルを「Drupal 7.23」で運用していた。そして、このDrupalは2010年3月6日リリースのApache 2.2.15上で稼働していた。さらに、複雑な事態に拍車を掛けるように、このApacheはOracle版だった。これは既定でディレクトリ構造を閲覧できる状態に設定されている。加えてApacheは、Drupalのファイル拡張子「.module」を既定では実行しない。そのため、すべてのユーザーがファイルのソースをプレーンテキストとして表示できるうえ、そのファイルが格納されているディレクトリも閲覧できる状態だった。