先日、価格.com サイトがセキュリティ侵害を受け、情報漏えいとシステムダウンを招きました。しかし、その後の価格.com 側の対応は極めて異常であったようです。

ポイントは数点あると思いますが、以下のサイトがよく指摘しています。

• 05月26日 大手サイトの「４つのやりません宣言」　サイバーノーガード戦法を超えた必殺のサイバークロスカウンター！ (NetSecurity)

これは確かにあんまりだぁ・・・。ということで、まずは、価格.com のどこに対応の問題があったのか、現状から推測。

価格.com が公表している「事実」と思わしきことは次の内容だけのようです。

• セキュリティ侵害を受け、そのためサイトを一時閉鎖した
• 漏洩した情報は、顧客メールアドレス「2万2511件」、購読者の本名や住所などの情報は含まれていない
• 警視庁ハイテク犯罪対策センターへ通報
• 情報漏えいの手口は判明していて、NDA 締結すれば内容は教えてくれる (ただし同業者のみ?)
• 個人情報は情報に重要度を付け、階層別に管理
• 侵害を受けた際、サイトを即時閉鎖しなかった
• 新種ウイルスに対する発見ができなかった
• 侵害の理由などは「捜査中なのでノー・コメント」

価格.com が公表している「事実」かどうか判らない事象は次の内容です。

• 侵害したサーバーの OS にはパッチをあてていた
• アプリケーションの構造に問題はない
• 最高レベルのセキュリティを施していたつもり
• 今回のアタックはレベルが高い

さてはて。個人的に感じるのは、すべての対応は行き当たりばったりにされていた、という事です。ルールが組まれていれば、「侵害経路を特定するためにサイト運営を継続・・・」などと言う悠長なことはしないでしょう。情報漏えいの際に顧客への保障を行なうか否か、それも決まっていれば誰も文句は言いません。

価格.com が逃げに出たのも拙いんでしょう。例えば「最高のセキュリティにしていたつもり」だとかは、感覚であって事実ではないです。それをおおっぴらに表現して、自己防衛したんでは誰もいい気分はしないです。もし「自分のサイトはきちんと管理している」と主張するのであれば、その根拠を提示しなくては誰も信用してくれません。価格.com さんは本当にできうるパッチをすべて適用していたのかもしれません。それを明示しないことは、この場合とてつもない損だと思います。

自分の無罪を主張するならその根拠を、顧客の情報が守れないのならそれを高らかに歌え、ちうことなんかな。価格.com は使ったことありませんから、どうだか良くわかりませんが。(落ちはそれかい