とあるサイトのセキュリティ|セキュリティごった煮ブログ

ネットエージェント
セキュリティごった煮ブログ

 コース:あっさり

とあるサイトのセキュリティ

ふさふさ
とある風

はじめまして、ふさふさです。
ペンネームをWEB担当者に伝えたら憐れむような目でみられたんですけど、一体なんなんでしょうね?全く身に覚えがありません(真顔)

ところで、皆さんは自分の仕事や自社の業務を両親や兄弟姉妹に説明できますか?
IT関連企業に在籍していると、両親に仕事の説明をしてもなかなか伝わりません。まして、情報セキュリティなんて、普段、ガラケーでメールをするくらいしかしない人には本当に伝わりません。
身内とは言えあまりの伝わらなさに"住む世界の違い"すら感じます。

先日、久々に実家に帰った時に兄者が「最近、仕事の仲間連中に変な電話がかかってくるんだよね~」と言ってました。
「最近流行りの情報漏えいかな~わっはっはっは」とのこと。
本人もあんまり気にしてないみたいだし、そのときは「へ~」で済ませていたんですけど、ちょっと調べてみることにしました。

とりあえず、なんとなくgoogle先生で兄者の名前を検索...ん?これは...

ブーッ!その1

ときに落ち着けっ、俺!
しかしこのページ、名簿だけじゃなく組織人事や事業報告、年間収支なんかも書いてある...。
なんでこんなものを全世界に向けて公開しているんだ?!

あれ?しかもこのURL、もしかしてここの文字列を削ると...

Index of ブーッ!その2

兄者!この写真めっちゃいい笑顔だよ!最高の笑顔だよ!!
...じゃなくて、久々にみたよ、「index of」でダダ漏れのWEBサイト。
一覧で公開されている情報の内容といい、写真といい、あきらかに組織内や仲間内で共有するような内容。なぜ、全世界にこれでもかと公開しているのか意味がわからない...。

いや、まだだ、まだあわてるような時間じゃない、と、とりあえず...兄者に電話だっ!
「もしもし兄者?かくかくしかじか...」
「あー大丈夫、TOPページにちゃんと書いてあるから。」

非常に閉じられたサイト...? ブーッ!その3

兄者! TOPページにそんなこと書いても見る人は見るから、全然セキュアじゃないよ!
というか、「非常に閉じられたサイト」って何?むしろindexですべて晒されていて全く閉じられてないよ! そして末尾の顔文字がなんかむかつく...

「きっと関係者以外、誰も興味ないから見る人なんていないよ。大丈夫だ、問題ない」(キリッ

だっておwwwwwwwwwwwwww
って兄者~!!違う、違う、そうじゃない!そうじゃないよ!

違う、そうじゃない

もう平成も終わろうとしているこの世の中で、まさかこんなインターネット黎明期っぽいWEBサイトを見ることになろうとは...
しかも当事者たる兄者は全然気にしてない。本当に気にしてない。全く気にしてない。

兄者弟者

冒頭の"住む世界の違い"という話に繋がりますが、
筆者と兄者では「情報に対する認識」が決定的に違うことがわかります。

兄者はまず、当該の情報が無関係の人に見られても大丈夫な情報だと思っています。
そして何より、「関係者以外誰も見てないから大丈夫」と思っています。

実際は大丈夫ではなく、個人情報に類するこれらの情報が悪用される可能性があります。
また、確かに兄者の言う通り、当該のWEBサイトの存在を知っている関係者以外の方が直接アクセスしてくることは、ほぼ無いのでしょう。
ですが、googleなどの検索エンジンにより情報を自動収集されることで、間違いなくWEB検索の対象にはなっています
その為、検索文字列によっては検索結果として表示されてしまい、関係者以外の方が閲覧やファイルの取得をしている可能性もあります。

「今時、そんな認識の人がいるのか?」と思われるかもしれませんが、例えば、twitterで全世界に公開されている認識無く仲間内だけに共有するつもりで悪ふざけ画像を共有し、無関係な多数の人が閲覧することで大炎上することがあります。
こういった事案は「関係者以外誰も見てないから大丈夫」という認識から発生する一例といえます。

まぁ、本件は兄者がダダ漏れにしているわけではなく、正しくは「兄者が所属している組織」が情報をダダ漏れにしているのであり、兄者はむしろ情報漏えいの被害者なのでしょうけど。

対策...ということでもないのですが、
兄者(の組織)にはとりあえず、このWEBサイトを一日でも早くクローズしてもらいたい!
そして、改めてもっとセキュリティ意識の高いWEB構築・制作業者さんにきちんとしたWEBサイトを作ってもらって、適切に運用してほしいものです。

その上で、「ホームページ・Webアプリケーション診断」を受けてもらうとか...いや、その前にもっと基本的なところで「セキュリティ教育講習」を受けてもらったほうがいいかもしれない...けど、なんか暖簾に腕押し、馬の耳に念仏な気もする...。

当社の理念、「誰もが安心して使えるネットワーク社会を実現する」道のりは果てしなく遠い。。。

メルマガ読者募集 採用情報 2020年卒向けインターンシップ

月別