ベネッセ流出 39歳派遣社員を逮捕 情報複製疑い 延べ1億件売る?
非常に気になったのは、
DBのシステムは記憶媒体に情報をダウンロードするとパソコンに「エラー」が表示される仕組みだった。松崎容疑者はスマホを充電しようとパソコンにつないだところ、データが取り込めることに気付いたという。のくだりです。
「充電しようと」ということはおそらくふつうにUSB接続でしょう。
すなわち
- ベネッセのシステムではスマホは記憶媒体として認識されていなかった
- ベネッセのシステムに限らず、一般に、USB記憶媒体の接続を禁止していても、スマホはふつうにスルーできてしまう
- スマホを普通につなげば記憶媒体として認識されるが、記憶媒体として認識させずにデータを転送できる何らかの方法がある(もしかするとベネッセのシステムに限らず)
のいずれかであったということでしょうか。
このうち3.の可能性については、私はセキュリティの専門家ではないので、わかりません。
また1.については、ベネッセ個別のセキュリティホールということになりますので、我々で直接検証することはできません。
しかし2.については、我々にも関係のある話というおそれがあります。
また、それなりに検証可能です。
私はセキュリティの専門家ではないので、とりあえず巷にあるUSB記憶媒体接続禁止ソフト「USB TOOLS」について、ためしに実験してみました。
このソフトは、「USB接続を禁止にする」を選択しておくと、USB記憶媒体を接続しても、ドライブも現れず、Windowsの右下部もウンともスンともいわなくなるというソフトです。
そこで、このソフトをインストールして、「USB接続を禁止にする」を選択しておいたパソコンに、私のXPERIAをUSB接続しました。
すると、USBで何らかの機器が接続されたことを認識した旨のメッセージがWindowsから発せられました。
そこで、一般的なドライバのインストール手順を進めると、「USB大容量記憶装置デバイス」のドライバのインストールが開始されました。
しかしこのインストールは、途中でエラーで終了しました。
ドライバはインストールされませんでした。
したがって、XPERIAへのファイル転送はできませんでした。
ただし、充電はふつうにできていました。
対照実験として、このソフトで「USB接続を有効にする」を選択しておいた状態、私のXPERIAをUSB接続し、XPERIA側でファイル転送モードを「本体のメモリーカードに接続」に設定しましたところ、今度はドライバのインストールが成功しました。そして、XPERIA側でファイル転送モードを「本体のメモリーカードに接続」に設定しましたところ、XPERIAへのファイル転送に成功しました。
よって、2.のおそれについては、私の素人考えなりに、払拭されたと考えてよさそうです。
ただし何度も繰り返すようですが、私はセキュリティど素人ですので、私の考えおよばない危険があるかもしれません。
また、ベネッセのセキュリティシステムも、実際にはきっと、こんな単純なものではなく、もっと複雑なものだったでしょう。
気をつけましょう…。
[追記 09:30]
Koshianさんから
MTPをチェックしてなければ回避しちゃうかもですねえとのfbコメント返しをいただいたので調べてみました。
MTPって、デジカメとかつなぐとドライブが出てこないのにファイル転送はできるというあのナゾのしくみですね。
Androidは3.1以上でMTPに対応したそうです。
私のAndroidは2.3.4です。
てことで、上の私の実験は、とりあえず「大容量ストレージデバイス」としてAndroidが認識されているうちは大丈夫っぽい、ということを言っているにすぎないようです。
[追記10:00]
この件、グーグル先生に聞いてみましたが、意外なことに、まったく答えが得られません。
MTPでPCに接続されると、データセキュリティはダダ洩れというのがWindowsの仕様のように見えます。
たとえば:
http://answers.microsoft.com/en-us/windows/forum/windows_7-hardware/is-it-possible-to-disable-media-transfer-protocol/248a2a24-8a74-4bce-ba13-b36d9750d69b
MS公式の質問箱にもかかわらず、まったく解決策が得られていないまま、放置されています。
ただしここの質問文を見た感じ、また他のサイトでも言及がされていたのですが、Windows XPの場合、Windows Media Player 10(ないしそれ以降? いっそWindows Media Player全バージョン?)のインストールを禁じてしまえばMTPアクセスは防げるようにも読み取れます。
だとすると皮肉にも、この点においてはひょっとすると、Windows 7よりも、公式サポート終了してしまったXPのほうが、容易にセキュアな環境を構築できることになります。
もしも、これが原因で今回ベネッセが情報漏洩を起こしてしまったのだとすると、技術者コミュニティでもほとんど話題になっていなかったセキュリティホールであり、システム開発側には同情の余地があるようにおもえます。
もちろん私ごとき素人が同情も何もえらそうに言えた立場じゃないんですけど。
こんなんで、セキュリティホールとか言われたんじゃたまらんね。まったく素人向けの製品を作ってる技術者には同情するよ。
返信削除匿名でしか物言えない人生に同情します。
返信削除