企業サイトはハッカー天国

（2011年6月30日付　英フィナンシャル・タイムズ紙）

　ソニーのCEO（最高経営責任者）、ハワード・ストリンガー氏は今週、東京で開かれた年次株主総会で、ハッカーの攻撃を受けたことについて謝罪した。攻撃の影響もあってソニー株は過去3カ月間で24％下落し、ストリンガー氏の報酬は16％削減されることになった。一方で、犯人たちは陽気に船出していった。

■姿くらますハッカー集団

　「良い旅を、と言う時が来た。我々が計画した50日間のクルーズは終わった」。ソニーやシティグループ、任天堂、米中央情報局（CIA）、セキュリティー企業HBゲーリーフェデラルなどが運営するウェブサイトを攻撃した6人のハッカー集団「ラルズセキュリティー（通称ラルズセック）」はこう書いた。

　姿を消したのは賢明かもしれない。何しろ、ラルズセックと接点がある19歳の少年はロンドンでハッカー攻撃に関して告発され、米連邦捜査局（FBI）はラルズセックの米国のメンバーを突き止めようとしている。

　ラルズセックは単に楽しんでいるだけだと主張している。同グループは以前、サイト上に掲載したコメントで、「ここはインターネット、達成感の刺激を求めて互いにだまし合う場所だ」と書いている。

■最小限の防御を突く若者たち

　ハッカー攻撃に対するソニーの防衛はお粗末だった。4月以降、同社が運営する約20のサイトが侵害され、「プレイステーション・ネットワーク（PSN）」は数週間にわたって閉鎖を余儀なくされた。被害額はおよそ1億7000万ドル。評判を落としたコストはもっと大きく、優雅な引退を望むストリンガー氏の計画を遅らせることになった。

　だが、ほかの企業もソニーと同様に、膨大な量の貴重な顧客データをオンラインデータベースに蓄積し、ウェブアプリケーションを通じて外部と接触する世界への準備ができていない。各社はハッカー攻撃に対して以前よりずっと脆弱で、深刻な打撃を受けやすくなっているのに、最小限の防御策しか講じていないのだ。

　大半の攻撃を仕掛けているのは、クレジットカード番号を探す東欧のギャング集団でもなければ、米国の軍事請負会社に侵入しようとする政府の支援を受けた中国人ハッカーでもなく、逮捕された男性のような青年だ。こうした若者は、先端的とされる企業の防御を簡単に突破するという強迫観念にとりつかれている。

　例えばHBゲーリーフェデラルやソニーのウェブサイトの欠陥を突いた攻撃「SQLインジェクション」とは、このようなものだ。ウェブサイトで顧客が名前を記入するのに使うような標準的な入力枠に、ソフトウエアのコマンドを意味する文字列をハッカーが書き込むと、背後にあるデータベースから情報を引き出せるのだ。

■「手を洗わない医者のよう」

　これはロケット科学のような難解な技術からほど遠い。米国土安全保障省が今週出したセキュリティーの欠陥に関するガイダンスでは、「容易に検出可能」で安価に修復できる欠陥と評価されたほどだ。だが、企業サイトはこうした穴に満ちている。ハッカーはソフトウエアを使って一度に何千ものサイトをスキャンし、こうした穴を特定できる。

　ガイダンスを共同執筆したハイテク企業サンズ・インスティチュートの調査担当ディレクター、アラン・ポーラー氏によれば、これらは「極めて単純なプログラムエラーで、医者が手を洗わずに感染を広げるようなものだ」。

　ソニーが気づかされたように、過去のソフトウエアのエラーを除去する作業は時間がかかり厄介だが、どれも企業の力が及ばないほどではない。

　問題は意志の欠如、あるいは自社のソフトウエアにこれほど大きな穴があることに対する企業上層部の認識不足だ。「泥棒に入られたことがないから、ドアを開けておくようなものだ。泥棒に入られて、ようやくカギをかけることを学ぶ」。ハッカーの標的にされたある企業は今週、筆者にこう話してくれた。

■大量の顧客データは生命線

　企業が今、顧客のデータを保有・利用することにどれほど大きく依存しているかを考えると、この認識は甘い。アナログの世界からデジタルの世界への移行で、顧客の名前や住所、クレジットカード情報、購買行動といったデータの価値はどんどん高まっている。

　例えばソニーのPSNは、一度限りの顧客を何度も利用してくれる会員に変える手段だった。しかも独自ネットワークのメンバーとして、コントローラーやキーボードをクリックするたびに自らの行動データを教えてくれるのだ。

　同じことは、アマゾン・ドット・コムで買い物をする顧客やフェイスブックの登録者、さらにはオンライン新聞の読者についても言える。

　マッキンゼー・グローバル・インスティテュート（MGI）の試算では、企業は昨年、7エクサバイトを超すデータを新たにハードディスクに追加した。1エクサバイトは、米議会図書館に収容されている情報の4000倍に相当する量だ。MGIは、こうした「ビッグデータ」の効果的な活用が、生産性と利益率の拡大のカギを握ると主張する。

■責任は企業側に

　それはそれで結構だが、顧客とコミュニケーションを取るために、企業はハッキングに対するかつての防御策を弱めてしまった。ホワイトハット・セキュリティーのCTO（最高技術責任者）、ジェレミア・グロスマン氏は「企業は、ネットワークをファイアウオールが守る城のような構造から、情報のバザーになり変わってしまった」と指摘する。

　顧客もハッカーもアクセスできるウェブアプリケーションが保護されない限り、慎重に扱うべき情報が大量に蓄積されたデータベースへのアクセスは容易だ。シティグループの例（20万人の顧客のカード情報がハッキングされた）が示したように、損害は莫大な規模になり得る。

　今のところ企業の側は、消費者と交わした暗黙の取り決めを守っていない。善意で与えられたデータを信頼して委ねられる相手ではないのだ。そうなるためには、企業はインフラに潜む明白な穴をふさぐだけでなく、蓄積した情報を用心深く守る必要がある。

　ラルズセックは出航したが、彼ら、もしくは別のハッカー集団はいずれ戻ってくるだろう。妙なユーモアのセンスを持った、不満を抱く原始的アナキストの若者は大勢いる。もし企業が準備できていなければ、それは自身の責任だ。