2015年11月13日金曜日

で、久保田直己はどうやって「いいね」をした全員の個人情報の入手したのか?

萩原栄幸の情報セキュリティ相談室:
セキュリティ会社元社員の個人情報流出事件の疑問点 (1/2)
F-Secureの元社員がネット上で多くの個人情報を流出させたと騒ぎになった。セキュリティの専門家としてこの出来事で疑問に感じた点を挙げてみたい。
[萩原栄幸,ITmedia]

にわかには信じられない事件が起きた。セキュリティ会社として世界的にも有名なF-Secureの元社員(事件後に退職)が、信条的に「気に食わない」人の意見に対し、これに「いいね」を投票した一般の人の個人情報を故意に流出させてしまったというものだ。

この事件は様々な意味で興味深く、また今後も事態が変わるかもしれない。事件の底流には現代社会の混沌とした部分や様々な思想、視点によって違う正義などが流れ、複雑化しているようにも思う。今回はセキュリティの専門家としてこの出来事に感じた疑問を挙げてみたい。

事件の経緯は様々なところで報じられているので割愛するが、疑問点は大きく(1)流出情報の入手方法、(2)会社側の対応――の2つになる。


疑問点1:どうやって情報を入手したのか

実は、情報を流出させた元社員とはある団体で何度か話をしたことがある。ご本人は覚えていないと思うが、ユニークな性格の方だったと記憶しており、その彼が事件を起こしたと聞いて驚いた。どうしてこういう行為に及んだのかは、本人にしか分からないだろう。ただ、セキュリティ会社の中核を担う社員であり、こういう行為をすることの恐怖は人一倍理解しているはず。本当に残念でならない。

元社員は個人情報をどうやって入手できたのだろうか。このようなことができると思われる裏ソフトは幾つか存在し、Facebookのセキュリティが完璧ではない(セキュリティ自体に完璧はないが)こともある。しかし筆者は、特定の「いいね」をした人の個人情報を簡単に、数百人レベルで入手できる術を知らない。

ピンポイントで特定個人の情報を晒すことは、時間さえあればある程度できるだろうが、セキュリティ業界に身を置く人は、まずそういう行為をしないと筆者は思う。過去の実証実験を除けば、個人的な目的でそういう行為に及んだ人を、少なくとも筆者は記憶していない。そこで考えられるのは次の4つの可能性だ。

1. F-SecureとFacebookとセキュリティ面で業務提携しているため、その関係者として情報を入手する術を知っていた?
2. F-Secure社内にセキュリティの脆弱な部分があり、元社員が密かに情報を入手していた?
3. 単純に元社員にスキルがあった?
4. 元社員に個人的な人脈があり、そこにつながる人間が関与していた?

まず可能性の(1)、(2)についてF-Secure側は否定をしているので、その真偽を知る術はない。ただ、そもそもピンポイントかつ、「いいね」をした全員を狙ってその個人情報の入手を「実行できる」ということは、論理的にFacebook全ての加入者の任意の個人情報が入手可能ということになる。これ自体が非常に脅威であると筆者は感じている。
http://www.itmedia.co.jp/enterprise/articles/1511/13/news044.html





















、、、(爆wwwwwwwwwwwwwwwwww

1 件のコメント:

匿名 さんのコメント...

>そもそもピンポイントかつ、「いいね」をした全員を狙ってその個人情報の入手を「実行できる」

Facebookやった事ないんで知りませんが普通のWEBの実装なら
「ボタンが押されたらそれをカウントして表示する(せいぜい同一IPからの連続押し制限する)」
ぐらいしかやんないんですね
それが誰が押したか管理者権限で調べれば分かる、という事であれば
「ボタン押した時点で押したユーザーのIPやらタイムスタンプやら何やらを記録する」とか
「Facebook利用者がいいねボタンを押すとその情報も一緒に全部残す」
機能がある可能性が高いんですよねぇw
逆にそういう機能がなければFacebookサーバの生ログを全て洗わないと無理なので人の手では不可能
倫理的に良い悪いは置いておいてこういう事はIT技術的には別に難しくも何ともありません
故に半永久的に情報が残るWEB上に自分の写真本名住所電話番号etc載せるのは愚の骨頂なんですよ(笑)
まぁ事実ならフィクションのディストピア物によくある監視社会そのものですね(爆w