「ヒト」こそがセキュリティの最強点

今夜はリリースされたばかりの『賢者の弟子を名乗る賢者 11』でも読んでのんびり過ごそうと思っていたのだが，面白そうな話が上がっているので便乗してみる。

• ヤマダ電機通販サイトの不正アクセスについてまとめてみた - piyolog

さすが piyolog さんは早いなぁ。

この記事を見かけたのが朝の忙しい時間帯だったこともあり，タイトルだけを見て「やらかしてら」くらいの感想しかなかったのだが，どうも「ヤマダ電機はクレカのセキュリティ・コードまで保持っていて丸ごとそれらを抜かれたらしい」という噂になっていたようだ。

が，実際にはこれはマスメディアの報道からくる誤解らしい。

• ヤマダ電機のクレジットカード情報流出事件、「セキュリティコードを保存」の誤解広がる(篠原修司) - 個人 - Yahoo!ニュース

例によってマスメディアの中途半端で杜撰な報道をネットメディア（Twitter 等を含む）が増幅しフェイク化するといういつもの展開なわけだが，語るのも面倒なので，こちらは無視する。

問題はヤマダ電機側がインシデントを認知してから実際にクレカ運用を止めるまでに10日かかっていること，そこから警察に届けるまで（例の10連休を挟んで）10日，そこからユーザに告知するまでに20日以上もかかっていることだ。

日時	出来事
2019年3月18日までに	ヤマダウェブコム・ヤマダモールが不正アクセスを受け、ペイメントアプリケーションが改ざんされる。
：	カード情報流出の可能性がある対象期間
2019年4月16日	クレジットカード会社より情報流出の疑義について連絡
同日	ヤマダ電機が情報漏えいの可能性を把握。
：	カード情報流出の可能性がある対象期間
2019年4月26日	ヤマダウェブコム・ヤマダモールでシステムメンテナンス。カード登録を休止する措置。
同日	ヤマダ電機がP.C.F.FRONTEOへ不正アクセスの調査を依頼。
2019年5月7日	ヤマダ電機が警察へ被害相談。
2019年5月20日	P.C.F.FRONTEOによる調査が完了。
2019年5月22日	ヤマダ電機が警察へ被害届を提出。
2019年5月28日	ヤマダ電機が個人情報保護委員会へ不正アクセス被害を報告。
2019年5月29日	ヤマダ電機が不正アクセス被害とクレジットカード情報流出の可能性を発表。

いやいやいや。 あり得ない愚鈍さである。 今時こんなテキトーなインシデント・レスポンスをかます企業があるとは思わざりき。

上のタイムラインを見れば分かるが，情報漏洩の可能性を認知した4月16日の時点でサービスを止めユーザに告知した上で警察と調査会社との三者で事に当たれば被害（の可能性）を抑え少なくとも10連休前には解決できただろう。 しかも10連休直前にえんやらやっと調査を依頼して自分たちは10連休を楽しんだ後に警察へ通報かい？ 安倍政権の中の人たち，あなた達の進める「働き方改革」は順調なようですよ（笑）

「ヒトはセキュリティの最弱点である」とはよく言われることだが，まさに今回のケースはヤマダ電機側の怠慢による「人災」だろう（もちろんクレカ情報を盗んだ犯罪者が一番悪いのは言うまでもないが）。

しかし本当は「ヒトはセキュリティの最強点になり得る」のである（「である」ではなく「なり得る」のがポイント）。 何故なら，予期しないイレギュラーが起きた時，危機的状況に見舞われた時，そういったときにこそ「ヒト」の真価が問われるからだ。

こんな15年くらい前の腐ったセキュリティ事例を目の当たりにできるとは思わなかったが，「他山の石」とでも思って今後の私達の活動に活かしていきたいものである。

参考図書