生業として脆弱性検査をやっていない限り、Web サイトの脆弱性にぶち当たったりすることは、稀なことだとは思うんですよね。
自分も、ずいぶんと長いことコンピュータの仕事に関わってきましたけど、一ユーザとして脆弱性を見つけてしまったことは、後にも先にも以前書いた図書館システムの件だけだったりしますが…。
自分は、富士通のシステムが使われていた頃から、Web での図書の貸出予約が出来るように利用者登録をしていたので、新システム切り替わりと同時にパスワードを変更して使っていたわけですが、新システムに切り替わって 1 ヶ月になろうかという頃、利用者メニューにログインしているときに、ふといや~な予感が…。
[From セッション管理がダメダメな図書館システムを 3 年も前に見つけてしまった顛末 - Soukaku's HENA-CHOKO Blog]
でもって、数日前に見かけた見かけた、こんな話。
さて、この場合、業界人的発想でいけば「指摘してくれて、ありがとう!」的な状況なんですけどね。
例えば、第三者による指摘内容のレベルによって報奨金を支払う、といったことをやっている
2014年6月、脆弱性報奨金制度がスタートしました。弊社パッケージ製品・クラウドサービスの脆弱性を発見し報告いただいた方に謝礼として報奨金をお支払いします。報奨金は1件あたり1,000円から最大300,000円(1件の報告から複数の脆弱性が検出された場合の金額上限は1,000,000円)です。
[From サイボウズ脆弱性報奨金制度|サイボウズ株式会社]
サイボウズのような例もあったりします。(勿論、快く思わない組織や個人がいる場合もありますが…。)
多分、学校や教師の立場からすれば、身内の恥をほじくり返しやがって的なのかもしれませんけど、生徒個人の個人情報に関わるような欠陥についての指摘であったのであれば、生徒を責めることなんてやってるのはお門違いであって、この欠陥に対する対応を速やかに行うのが学校として真っ先にやるべきこと思うのですよ。個人情報が漏れようものなら、間違いなくニュースになるでしょうし、取材の過程で「生徒により問題点が指摘されていたが、その対応を学校側が怠っていた」なんて状況であったことが判明しちゃったりしたら、そりゃ大騒ぎになるでしょう。
#学校側が、対処しているのかどうかについては言及がないんでねぇ…。
もしかしたら、件の彼が気が付くよりも先に不正アクセスを試みた輩は既にいると思っていたほうが良いかもしれませんし、個人情報の漏洩に関しても既に手遅れだったりするかもしれない可能性もあるわけですが、そういうところまで学校側は認識出来ていないんだろうなぁ、と…。
この場合の最適解は、何なのだろう?
この話、具体的な欠陥の内容が判らないので判断しにくいのですけど、プログラミングを勉強(特に、 Web アプリ周り)していたら、割と容易に見つけられることだったりしたのかもしれません。
場合によっては、フツーにアクセスしながら Web ブラウザの挙動がおかしいとか、ちょっとした違和感から問題点を抱えている事を発見するに至る場合もあるわけですし。(自分の時は「あれ?何故、セッションIDらしきものがURLに?」から、始まりましたからね。)
ただ「見つけてしまった時に、どうすればいいの?」ということは、きっと学校では教えてくれないことなんでしょうね。口噤む、というのも選択肢でしょうけど、今回のように発見者自身の個人情報が関わっているとしたら、そういうわけにもいかないでしょ?
そこで「信頼できる第三者に相談しましょう」と言うのは簡単ですけど、そもそも「どこの誰が信頼出来るのか?」をどう判断するのかという点は難しいわけで、相談を受けたとして適切に対処出来る教師も少ないのではないでしょうか。
そうなってくると、届出・相談が出来て「信頼することが出来る公的な機関」として IPA セキュリティセンターが存在しているということは、もっと広く知られていても良いので、と思うわけです。
IPAセキュリティセンターでは、経済産業省の告示に基づき、コンピュータウイルス・不正アクセス・脆弱性情報に関する発見・被害の届出を受け付けています。
お届けいただいた情報は貴重な資料として、被害の拡大・再発の防止、情報セキュリティ対策の向上に役立てます。
プライバシーに関しては十分な配慮をいたします。届出へのご協力をお願いいたします。
[From 届出・相談:IPA 独立行政法人 情報処理推進機構]
IPA 自身も中高生向けの啓発活動をやっているようですが、それは利用者としてことが中心のようで、開発者としての中高生向けな内容があってもいいんじゃないかと思うんですよね。セキュリティ・キャンプのようなレベルまでは必要ないと思いますけど…。
きちんと対応してくれる機関があることは、記憶の片隅でもいいので覚えていてほしいなぁ、と思うわけです。今すぐ役立つ知識ではないかもしれませんが、いつか役に立つ日が来るかもしれません。
学校としても、IPA からとか、 IPA を経由した JPCERT/CC からの脆弱性の指摘ともなれば無視は出来ないでしょうし、対策結果も報告することになるわけです。その過程で文書として記録が残れば、公立校なら後々どういう対応をしたのかまでを、情報公開制度を使って調べることが出来る可能性も出てくるんですよね。
区として受領した書類の中に、メーカからの報告書であったり、区からメーカに対する質問といった文書があれば、情報公開制度で入手できるのかもと思い、実際に手続きをしてみた結果、いくつか文書を入手することが出来ました。
#武雄市のアレコレ追っかけてたりしなければ、情報公開制度でいけるかもとは思いつかなかったかも…。
[From 図書館システムの改修に関する文書を取得してみた #文京区 - Soukaku's HENA-CHOKO Blog]
とにかく今回の件、周囲の大人が、生徒の才能の芽を摘み取ってしまったり、未来の可能性を狭めてしまうようなことないよう対応をしていただきたいものです。
コメントする