市民10万人の情報ダダ漏れで知事が逆ギレ その裏にある真実とは?:635th Lap
個人情報漏えい問題が発覚したともなれば、どんな組織であれ謝罪ものだ。しかし、ある知事は市民10万人分もの個人情報が漏えいしたにもかかわらず、誤るどころか逆ギレする始末だ。その裏には“犠牲”となった人がいた。
政府や自治体、一般企業が市民や顧客の個人情報を漏えいするとすぐさま大きなニュースになり、経営幹部などの責任者が謝罪会見で頭を下げなければならない事態となる。どれほどの被害が個人に及ぶかが不明瞭なだけに、とりわけ深刻な問題だ。
米国のある州の知事は、個人情報の漏えい問題に関して同州に責任があるにもかかわらず、なんと「逆ギレ」という醜態をさらして物議を醸した。その裏には“犠牲”となった人がいた。
州知事が自身の失敗に対して逆ギレするというのは珍しい話だ。この件を報道したのは、ミズーリ州セントルイス市の地元紙『St. Louis Post-Dispatch』だ。記事が掲載されたのは、2021年10月14日のこと。
記事によれば、同紙のジョシュ・ルノー記者がミズーリ州の初等中等教育局のWebアプリで教員の検索をしていると、10万人を超える教員の社会保障番号(SSN)が閲覧できることに気付いてしまった。SSNとは、日本でいうところの「マイナンバー」に該当するものだ。
そのような秘匿データをあえて探していたわけではない。単にWebページのHTMLソースコードを見ただけで、恐るべき数のSSNを知ることができたのだ。Webページのソースコードは、ブラウザの機能を使えば誰でも閲覧できる情報だ。
2021年10月12日、ルノー記者は「これはマズい」とすぐに州当局にこの件を報告した。当局はすぐさま修正し、SSNがダダ漏れ状態になることを防いだ。
当局は、これはさすがに公表すべきだと判断したのか、正式な声明をプレスリリースとして出した。簡単に言えば「問題はありましたが、解決しました」という内容だ。これが2021年10月13日のこと。
ルノー記者がことの始末を記事にしたのが2021年10月14日。同氏はこの件を2021年10月12日に当局へ報告した。そして修正発表が2021年10月13日。つまりSt. Louis Post-Dispatch紙は、この問題が州当局によって解決されるのを待って正式な記事を掲出したのだ。修正される前に記事が出てしまえば、脆弱(ぜいじゃく)性を知った悪意ある者が手を出す可能性があると判断したのだろう。
ところが、州当局が発表したリリースの内容に違和感を抱いた記者がいた。リリースには「クラッカーは、HTMLソースコードをデコードして少なくとも3人の教育者の記録を取得し、特定の教育者のSSNを確認した」と冒頭にある。その記者はリリースを見て「ルノー氏は善意の記者ではないのか」といぶかしく思った。
Louis Post-Dispatch紙の記事が出る直前に、ミズーリ州マイク・パーソン知事は記者会見を開き、この問題を報告するとともに、ルノー記者を「クラッカー」(注)呼ばわりし、「新聞社と記者は、州当局を陥れるためにこの問題を発見した」と発言したのだ。
(注)コンピュータに関する知識や技能を悪用する人
さらにパーソン知事は「州のシステムをハッキングする者、ほう助する者に対して法的処置を執る」と重ねて発言し、郡検察官に捜査依頼した。これはまさに逆ギレではないか。
Louis Post-Dispatch紙は、知事の発言を受けて記事を掲載することにした。当然ながら、知事の暴論に世論も反論した。またパーソン知事が所属する共和党の議員からも「パーソン知事はITに無知過ぎる」と痛烈に批判された。
もしSSNを見るために特殊な操作やハッキング行為をしたとしたら、それは記者がクラッカーと見なされても仕方がない。しかしルノー記者は「誰もがSSNを閲覧可能である」とクリティカルな脆弱性を報告しただけだ。
今のところ、SSNが外部に漏れたかどうかは明確にはなっていない、これが今後法的問題に発展することになるなら、記者ではない一般の人ですら善意の報告をしただけでクラッカー扱いをされることになりかねない。知事の「逆ギレ」は、果たしてどういう着地を見せるのだろうか。
上司X: ミズーリ州の知事が、自分のトコのWebサイトの問題を教えてくれた記者と新聞社をクラッカー扱いして逆ギレしちゃった、という話だよ。
ブラックピット: んー、記者の人はHTMLを見ただけと言ってますけどねえ。
上司X: HTMLを見りゃ分かる状況ってことだから、ハッキングではないと判断すべきじゃないかなあ。
ブラックピット: でも脆弱性を見つけるきっかけが「州のWebアプリ」って言ってるんですよね。ブラウザじゃなくて。
上司X: 確かに……。
ブラックピット: 記事の情報だけでは分かりかねる話ではあるんですけどね。まあ、ソースコードが見られる状況ならやっぱり問題点はハッキング行為ではない気がしますけどねえ。
上司X: 今のところは、州の報告で捜査機関が動いたという話はなさそうだけどね。今後、どうなるか。
ブラックピット: 何とも単純な個人情報の漏えい事件なのに。というかそもそも実際漏れたかどうかも分からない状況でしょう? 被害が確認されていない状況で善意の報告者をクラッカー呼ばわりするっていうのはねえ。
上司X: ま、報われない話だわな。恐らくこの件、知事は振り上げた拳をゆっくりと降ろさざるを得ないことになるんじゃないかな。さすがに新聞社に非がある感じじゃないし。ま、法機関がどう判断するかはまた別だけどね。ともかく個人情報の扱いには注意に注意を重ねるべきだと思うばかりだよ。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.