問い合わせフォーム事件その後
流石に公知No.10に対する世間様の風当たりが強かったのか、公知No.11で以下のコメントが発表される。
「公式サイト「お問い合わせ」への不正アクセスについて(続報)
2002 12/05
今回のサポートページに関する問題についてですが、
本来弊社はお客様へのOne to One サポートを行う事を目的とし、
お客様が対応の履歴を参照できるよう、今まで以上にサポートを強化する為に
用意したサポートシステムです。
しかし、一部の方より不正な行為を受けました事を非常に残念に感じております。
なお、弊社では今回の一連に関する検証調査を行った結果、
システム的にはこうした不正行為に対する予測が不十分だった事により、
このような行為が可能であった事実が判明した事により、
今回お客様の皆様に不安をもたらし、ご迷惑をかけたことについて、
深くお詫び申し上げます。
弊社としては、今後更にこうした不正行為に対する、セキュリティ強化を
図って参ると共にこれまで以上に充分警戒し、対策を講じて参ります。
現在、被害状況の調査確認中です。
なおサポートに寄せられた全件を一件一件詳細まで調査しております関係上、
少々お時間を要しますが、調査結果から被害に遭われたと想定されるお客様に
個別でご連絡を取らせて頂き対応をさせて頂きます。
なお、警視庁ハイテク犯罪対策センターとの相談し、
未だこうした不正行為を繰り返す方についての対処を現在確認中です。
また、βテスト時より永続して行われる業務妨害行為(不正アクセス行為)
については継続して捜査できるよう対策を整えて参ります。
大変お客様にはご迷惑をお掛けいたしますが、
何卒ご協力のほどよろしくお願い申し上げます。
なお、本件の対応が完了しました際には改めて、皆様にご報告をさせていただきます」
状況を整理しよう。
今回の事件では2つの問題が発生している。一つは「ガンホー社のセキュリティー意識の甘さが招いた問い合わせフォーム記載の情報漏洩」もう一つは「その漏洩情報を利用した悪意あるユーザーの不正アクセス」
ガンホーでは上記の問題の前者を隠蔽し、後者の事実を声高に叫んで情報操作を行おうとしている。
まず前者の問題について
前者の問題の根本的な原因は、ガンホー社のアクセス制御の失敗である。その結果情報が漏洩したのは、ユーザーが見たから悪いのではなく、明らかにアクセス制御に失敗したガンホー社が悪い。
実生活に当て嵌めて考えると、鍵を掛けるのを忘れた家にやって来た宅配便業者のおじさんが(インターホン鳴らしても全然反応が無いので)とりあえずドアノブを回したら、扉が開いてしまったという所だろう。そこに善意はあるかも知れないが、悪意は無い。そもそも無自覚である可能性の方が高いが。
この事実自体に、犯罪性は無い。その後、中に入って金目のもの盗んだら犯罪だけど。
(後者の問題は、「開いていたので中に入って、金目のものを分捕った…という形になる。これはいかなる詭弁を用いても犯罪だろう」)
ガンホー社ではこの新しい問い合わせフォームのシステムをワン・オン・ワンでの〜云々と美辞麗句で飾っているが、ワン・オン・ワンであろうと無かろうと、覗き見されるシステムにID等の情報を記載するよう誘導しているガンホー社に明らかな過失がある。いいシステムだからとか、悪いシステムだからと言う問題ではない。
私自身のサイトにも記載しているが「見られて困るものは鍵掛けてしまっとけ!」と言わせて頂きたい。残念に感じるのではなく、恥じ入るべき所だろう。
公知No.10の2段目と3段目でそれなりに謝罪している様は評価できるが、今回の事件の事の本質をどの程度理解しているかは…一抹の不安が残る形だ。
後者の問題については、明らかに不正アクセス仕掛ける奴らが悪い。警視庁に通報するのもアリだろう。
ただ、この事件を表沙汰にすると言う事はガンホー社が自身の不手際を表に晒すと言う事なのだが…分かってるのかな?
単純に例示する。
道に財布が落ちてたと。財布の中にクレジットカードと何故かは分からないが暗証番号を記載したメモが入っていた。何気なく落し物を拾い、銀行で残高確認して金を抜く。
道に落ちていようが放置されていようが、他人の物を盗んだら間違いなく犯罪だ。落し物はそのまま交番に届けるのが筋だろう。(もっとも今回の場合、ある人物がこのセキュリティー問題をガンホー社に通達していたようだが、カンペキに近い形で無視されている模様)
この当たりで少し勘のいい読者はある事に気が付くだろう。
ベータ2時代から結構頻発している「キャラチェン」はどうなるのかと。キャラチェンの上、物を捨てられたらどうなのかと。
アレは銀行に言って自分のカードをATMに差し込んだら自分のものとは思えない「大量に預金がある口座」に繋がってしまった言う状況に似ているのではないだろうか。それを勝手に引き出して使い込むのは道義的にマズイが、実際に問題が起きて対処を行うのは銀行側だろう。全面的に向こうに非があるし、引き出しまくった人間は訴ええられるかもしれないが、恐らく無罪になるんではなかろうか?
上記の例示はあえて私の主張に賛同できる形のものを選んだ。しかし「キャラチェン」は明らかに他人のアカウントに繋がった事が分かるので、故意という部分をクローズアップすれば逆の結論を導き出す事が出来るかもしれない。実質グレーゾーン上の問題だろう。泥沼化しそうな案件であるので、問題が複雑化し、取り返しの付かない状況になる前に善処をお願いしたい。
で、この後に私の賛同する「街角」をベースにした「お願い」運動が発生する。
現在、私が記事書いたり他の仕事している間に問題が複雑化し、ややこしい事になっている様ではあるが…ポイントを絞って、明瞭な回答を手にする事が出来るようにした方がいいと思う。色々な案件を一斉に持ち出しても現実問題として対処しきれないだろう。
今ラグナロクが抱える問題で、一番大きな問題は間違いなくセキュリティーやプライバシーに関連する問題だろう。金銭的な被害に会っている人が居ないと信じたいが、実際はどうなんだろう…