返答:「カードショップセラの漏洩事件をなるべく冷静に捉えたい」への反応へ

　まず、どうでもいい話。私が凍結されたことで私への悪口とかをTwitterへ書く方を見かけるんですけど、凍結されても検索とか普通に出来るんで、というかエゴサは全く同じ様に継続しているので、「見られない隙に悪口書いたろ！」はミスプなんでやめた方が良いです。「言い返されない隙に悪口書いたろ！」なら、全然OKです（OKなのか？）。あと、鍵垢でも見えないのでOK。




　さて本題。
　見かけた、前日の記事に対する反応について、有り難かったものやちょっと反論しないと困っちゃうものを挙げさせていただきます。また、ここには挙げませんが他にも数々のポジティブ/ネガティヴな反応をいただけ、感謝しております。
　以下、反応の内容は特定を防ぐ為に適当に改変しております。




Q 擁護派という立場を隠して擁護してんじゃないよ
A 2つ。
　まず、事実に基づかずに人や法人を攻撃することは、あなたがなんと仰ろうと人道に悖ります。またそんなことを繰りかえせば、本当に糺弾されねばならない存在がのさばり、さらに特に罪の無いものが責め立てられるような社会に繫がりますので、そんな行為への片棒は絶対に担げません。なさるなら、せめて御自分の信念と責任でお願いします。
　そして、もしも我々が「セキュリティコード保存」「隠蔽工作」「不当な公表までの期間の延長」「脆弱なウェブサイト」の豪華4本立てで株式会社英宝への攻撃を行い、万一、その内の幾つかについて実際はそんなこと無かったと判明したら、つまり「ああ、…こりゃ一年掛かりますわ」とか「お、確かにこの攻撃方法ならセキュリティコード保存してなくても持っていかれますわ」などとなったら、「まぁ、うん。……4つの内2つは実際にはそんなことなかったんから、勘弁してやろうぜ」みたいな雰囲気が少なからず齎されてしまうでしょう。私には、もしも、そんな下らないロジックで彼らが容赦されるなどということが起こったら、受け入れることなど到底出来ないのです。攻撃対象が多すぎると、ぼやけるし脆くなる。だから、正しかろう場所のみへ絞ろう。私はそう、主張しております。

　ちなみに、この内のセキュリティコードについてですが、追加された声明の

Q. クレジットカード情報の非保持化には対応済みですか
A. はい。経済産業省が主導となり掲示された「カード情報非保持化」は期日までに対応済みです。また、セキュリティコード(CVV)は、非保持化のルールにより弊社では保持しておりません。

　これって、実は以下の意味なのでちょっときな臭いですね。

Q. 2018年3月末以降、セキュリティコードは保存していませんか。
A. はい、2018年3月末以降、しておりません。

　実は、今回の件に関して何も言っていないに等しいんです(ホントにこんな質問きたのかしら...?)





Q セラ屋の店員？
A あ?





Q (ブロマガ記事への第一コメント)
A ニコニコから通知が来たので急いで見に行ったら、既に消えていました。無駄に仕事が早い。という訳で私が消したわけでも無いですし、私が反応出来ないもの致し方ないので御容赦下さい。自身で消去されたのなら、私は見ておりませんので御安心(でいいのか?)ください。



Q (拙速な公表は望ましくない、について) 世界共通の認識だって？　例えばインドネシアではこうなっているし、そもそも国内でもIPAの「情報漏えい発生時の対応ポイント集(第3版)」に「透明性・開示の原則から、発生した情報漏えいについてなるべく早く公表を行うことを考えます。」とあるが？
A (インドネシア！？)
　既に本記事に追記させていただきましたが、「世界」という表現については確かに充分確認しないまま書いてしまっていたので、訂正させていただきました。有り難うございます。その後調べ直した結果については、本記事に追加した通りです。
　また、IPAの資料についてですが、まさしく同資料の第6ページに「ただし、 情報の公表が被害の拡大を招く恐れのある時は、公表の時期、対象などを考慮します。」でありますので御確認下さい。反応の中で引用されている文でも「なるべく〜考えます」と濁しているのはこういうところとの関係だと、私は捉えております。



Q (拙速な公表は望ましくない、について) セキュリティホールを1年も放置していいわけないだろう！
A そんな話は全くしておりません。
　ちなみに、その話を今からすると、

2018年11月08日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、2018年11月08日弊社が運営する「Cardshop Serra」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。

　発覚当日に、セキュリティホールが有ったのであろうカード決済機能を停止し、（同時、という言葉をそのまま捉えれば）さらに調査までも開始しているので、ここまでは寧ろ超速です。なので、御指摘は論旨に含まれていないだけでなく、株式会社英宝の報告に反します。
　大きな企業が「いや、……もうちょっと社内で調べてからにしようよ。　……気のせいかもしれないし。」とかグダグダやっていることが少なくないのに対し、この段階までは中々素晴らしい対応だと思います。……この段階までは。




Q (拙速な公表は望ましくない、について) 当局への通報が遅れていいわけないだろう
A そんな話も全くしておりません。
　が、主張の内容は正しいように思えます。個人情報保護委員会や警察への通報を遅らせるメリットが私にはわからなかったので、どなたか思いつくならばお教えいただけると幸いです。




Q (Exactlyの部分について) 水も漏らしてはいけないのなら、Windowsもインターネットも廃止だね廃止。
A Windowsとインターネットの全ての利用において、顧客のクレジットカード情報とかそのレベルの情報を扱ってはいないでしょうけど……




Q (Exactlyの部分について) このセクションは悪意に塗れている。水も漏らさぬって、つまり脆弱性を伴わないWebシステムってことなんだろうけど、仮にそんなん作れるならGoogleとかに勝てるんで起業した方が良いよ、マジオススメ。(略)エンジニアがこんなにも正しくない認識を非エンジニアに広めるって、あんまりにもな悪意だ。
A (やったらめったら長かったので、上の表現はばっさり省略しています)
　私は、この反応を見て本当に悲しくなりました。だって、あの記事が本当に悪意に満ちており、本当に有害な認識を広く広めるものであるならば、当然にそれを留める必要が有るのですから。
　ここまでに上げてきた反応も、直接私へはいただけていませんでしたが、「この場所って、違くない？」くらいの軽めの内容だったので、まぁダイレクトにわざわざ来ないのも致し方ないかなと感じました。でも、この方は違ったのです。ここまでのことを仰り、私の「悪意」とあの記事の「有害性」を真に憂うならば、対抗記事を上げるなりコメントを残すなりしていただきたかったのです。そうでこそ、少なくとも私が、そして恐らくあなたも願っているであろう、「啓発」が真に達成出来るのですから。確か私よりもずっと経験の長い技術者であるあなたが、仮に、「力いっぱいぶん殴る」という方法であったとしても私を助けてくれたのならば、あの事件に関する誤解や不理解を減らす試みにおいてどれだけの助けとなったでしょうか。

　そもそも私は自分の経験と知識と信念と良心によってあの記事を書いているので、「悪意」は全く誤りで、「迷惑千万」とか「しょうもない」とか「粗悪」とか「劣悪」の辺りが正しいわけですが、まあ適当に「劣悪」にでも読み換えて進めるとしましょう。

　そろそろ本題に入ると、「水も漏らさないというシステムという、不可能な要求を義務とするのはおかしい」が主張の中核のようでした。私は記事内において「世界初の攻撃とかならばしょうが無いけど」と付していたので、そもそも不正確に捉えられている可能性もあるわけですが、まぁ「(世界初の攻撃とか、そういうの以外は通さない、)水も漏らさないというシステムという、不可能な要求を義務とするのはおかしい」に読み替えて、反応させていただきます。
　確かに、仰る所ももっともです。絶対に100%突破されないセキュリティを備えるのはおよそ不可能です。でも、それでも、クレジットカードやセキュリティコードを扱うシステムならば、例え達成不可能でも、尚もそれは義務なのだと私は信じます。
　仮に、およそ最先端のセキュリティ技術で全力で作ったシステムが存在して、そこからセキュリティコードが1万件とか流出して、世間が「んー、まぁあれだけやったのならしょうがないかー」と許してくれることが有りうるでしょうか。私には、そんな絵面全く想像出来ないのです。刑事裁判や民事裁判、あるいはセキュリティ勉強会で事例としてあげられた時に「いやー、これはしょうがないでしょー」とはもちろんなるでしょうが、でも、それでもやはり、世間や社会は容赦してくれないと思うのです。もう勝手に外されないよう鍵括弧で強調しますが、『センシティブな情報を扱うならば、』水を漏らさないシステムを構築するというのは、たとえおよそ達成不可能であろうとやはり義務であると私は信じます。そんな不可能な義務に挑んでいく、それがセキュリティであると、『私は』信じます。不可能であろうとも義務であるのだから、それの不履行によって起こった問題については責任を取らねばならない。それが、私が信じているところです。
　あなたよりも私が「劣悪」な物を書いてしまうのは自然なことでしょうから、それを単にひっそり論うのではなく、あなたの経験と知識と信念と良心からなる真摯な反論を頂きたかった。それが、私の率直な意見です。


　なお、この反応について取り上げたのは、上に記述したように「"義務"というのは私の信条であり、このように非常に憤る技術者もいる」と示したかったからです(PCIDSSの要件6によっているつもりなので、あんまりに独りよがりとも思いませんが)。





Q あんな記事なんで書いたの？　どう得するわけ？
A 得すること？　なんも無いよ、なんも無い。マジで何も無い。
　ただ、確定した事実に則していない蜚語が跋扈することと、そしてそれの乗じた攻撃の失敗によって彼らが社会的責任を免れることが万一にも起こることとが、私にはどうしても許せなかったのです。
　もっと熟練の技術者があの事件について説明を書いてくれれば本当に良かったのですが、どうせそんなことなど起こらないわけで、ならば私が書くしかあるまいと危険な試みを今回犯しました。その結果、「セラを擁護している」だの「セラ屋の回し者」だのという事実無根の風評に苛まれて心身共に疲労するだけで、馬場に行っても刺されるんじゃないかとどぎまぎするだけで、本当に何も得ておりません。しかし、私は後悔しないと思います。とにかく、コストを伴いながらも、私の危険な試みは有る程度の功を奏したのですから。




ななかけるゼロ