YJFX の顧客情報流出から広げるセキュリティの話
5月になったので過去を振り返ってみようと思います。 近年というほどでもないけど、一定の間隔で問題が起きる金融業界(仮想通貨も含む)。
金融業界における問題
記憶に新しいものであれば、Coincheck の NEM 流出だったり、Zaif の殺人相場だったり、マネックスによる Coincheck 買収だったりと、 胡散臭いところが胡散臭いことして騒ぎを起こしてる感じですね。 仮想通貨を事前に仕込んで資産を得た人もたくさんいたと思います(税金覚悟しといてね 微笑)。 そんな仮想通貨が話題になる前に起きた個人情報流出問題があります。
YJFX!による顧客情報流出問題
2016年に発生したこの問題はエンジニアが開発で勝手に個人情報を利用したという情報倫理を一切持ち合わせていない野郎に仕事を任せた企業の責任を問うものです。 社員の情報倫理教育を怠った結果である。呆れるよほんと。 ただ、とてもいいヒントをくれました。 金融関連企業がいくら信用があるように装っても、我々からすれば社員には1ミリも信用なんてないことを気づかせてくれました。 少なからず存在するであろう、問題を発生させない社員は素晴らしいが、顔も名前も知らないので称えることもできない。 社員の個人情報を守り、顧客の個人情報は雑に扱う。両方守るべきものではあるが、重要度のつけ方が間違っている。
セキュリティは大事
セキュリティ面で重要なのはデータを安全に扱う、高度なセキュリティに関する情報を持ち、それを実施する人であることが必要なのである。 つまり、「エンジニアへの信頼 = 金融企業への信頼」ということになる。 セキュリティに関してザルな権限を持ったエンジニアがいると社内セキュリティホールも発生してしまう。 他のセキュリティに甘い社員に対するフォローができなければ終わりなのだ。 というか、本番データを利用するなんてことは禁忌である。
セキュリティの対策
USBメモリを使ったデータの移動やZIP形式でのファイルのやりとりは非常に危険である。 中身がわからない状態にしてしまうのは運び屋のやり方と全く同じ。 知らないうちにウィルスを運ばされていたなんてこともよくあるんじゃないかなと。
IDの変更を推奨
情報流出の対策としてIDを変更しろというお知らせがある。
パスワードを変えるならわかるが、IDを変えるということは、 Twitter でいうと @[なにがし]
のなにがし部分を変えようというのである。
著名人なんかにしてもればあまり意味がない。
ちなみにIDがわかるとDDOS攻撃とかには耐えきれない、量子コンピュータなんてものが製造され、利用されると破綻する。
わりと知られていないセキュリティ対策
- 関わらないこと
- 他人に任せないこと
- 無名であること
それすなわちセキュリティ。 他人に関心されなければ、よほどのことが無い限り、余計なことを受ける必要がなくなる。 悲しいけど、それが一番楽だね。
かなり雑な記事になってしまった…。