お客さま情報の流出について(千葉銀行サイトより)
(注:あんまり面白いので、万一修正される前に魚拓しておきました)
1.情報流出の経緯等
弊行行員自宅の個人所有パソコンがコンピューターウィルスに感染し、これに記録していたお客さま情報が、ファイル交換ソフト(Winny等)を介してネットワーク上に流出したものです。
当該行員は平成15年頃にファイル交換ソフトを使用しており、翌年までには自主的に削除しておりましたが、その削除手順に誤りがあったことから当該ソフトが残留し、これがウィルスに感染したことにより本件事案となったものです。
ボス助けて!何度読んでも笑いすぎて腹筋痛いよ!!
ページ冒頭で、「再発の防止に全力を尽くしてまいります。」と決意表明してあるものの、こんなアホな言い訳で納得して、なおかつ平然とプレスリリースするような低脳企業に再発を防止できるわけがあるめえwwww
ファイル交換ソフトやこの手のワームについて知らない人のために分かりやすく例えると、
会社のお金(大金)を横領した人間が
「横領する気などなかったのだが、仕事で金庫から出したお金に羽が生えて飛んでいき、自宅に帰ったらなぜかそのお金が自分の部屋に飛んできていた」
と説明し、
追及した上司が
「そうか、羽が生えたなのならしょうがないな」
と納得し、
マスコミや顧客・取引先に対して
「このたびの事件は、当社金庫から出した紙幣に羽が生えて飛び去ったものであり……」
と真顔で説明した
ような状況だと思ってくれれば間違いない。
<言い訳の頭おかしい点>
1:「翌年までには自主的に削除しておりましたが、その削除手順に誤りがあったことから当該ソフトが残留」について
まず、Winnyは導入の際にレジストリを使わないので、削除したい場合には特別なアンインストール作業(コンパネから行う作業)は必要なく、フォルダごとファイルを削除すれば事足りる。
つまり、通常の「いらないファイルの削除」と同じく、
・フォルダを右クリックして「削除」
・ごみ箱を空にする
で完全に消える。市販のソフトよりもずっと簡単であり、どう考えても間違えようがない。
また、Winnyには「消しても復活する」「削除したように見せて見えないところで起動する」というようなオカルティックな機能はない。それはプレスリリース言うところの「ウィルス(おそらく山田系)」も同じである。
Winnyを使ってファイル交換を行うためには、「ポート開放」「ノード設定」という、ルータなどを設定するちょっとだけ複雑な手順が必要となる。
これらの設定はソフト側が勝手に行うことはないし、第一この手の作業をできる程度のスキルのある人間が、「ファイルを削除するだけ」の手順を誤るはずがない。
初心者にありがちなのが、「デスクトップのショートカットだけを消してアンインストールした気になる」というのがある。
しかしMe以降は「ショトカを消しただけではアンインストールされない」というメッセージが出るし、第一Winnyは自動的にデスクトップにショートカットを作る機能はない。
自分でショートカットを設定したならば、当然本来のファイルの場所や削除方法も分かっているはず。
また、この手のワームは(ファイル交換ソフトを介した場合)
*Winnyを起動してワーム入りのファイルを落とす
*ワーム入りのファイルをダブルクリックして起動する
ことで初めて目を覚ます。
「PCの中にWinnyが"ある"」だけでは何も起こらない。
要するにこの行員、「削除した」というのは嘘っぱちで、「ガンガン起動していた」ことはあまりにも明らか、あまりにも幼稚な出まかせを言っちゃったということなのだ。
なおこの「山田ウィルス」は、Winnyを入れていなくともダウンロードしてしまう可能性がある。
経路としては、掲示板の罠リンクを踏んでファイルをダウンロードして実行、あるいはエロサイトなどの騙しリンクからスパイウェアを導入してしまう、などのものがある。
これらはインストールされると、自分のPCをネットを通して公開された状態にするので、こうした情報流出などが起こりうる。
しかしこの場合、Winnyを介さなくても起こるのだから、そもそも「削除したはずだが手順が誤って…」などという言い訳は不要のはず。
ここから考えても、「やってた」ことは明白だ。
また、「ファイル交換ソフト(Winny等)」の「等」も気になるな。
洒落も使ってただろこいつ。(Shareでも山田系にはかかる)
「これ(=ファイル交換ソフト)がウィルスに感染したことにより」という書き方からしても、「なんだか分からないけど怖いウィルスのせい」というだけの認識で、何がどうなったのか何一つ理解していない現状が丸分かりである。
こんな言い訳をする行員も行員だが、通す方も通す方。
このようなリリースを平気で出してしまうほど情報管理やシステム運用知識がダメダメな銀行。私なら即日解約したくなってしまうな。
(せめてシステム系の部署の人間に文面を作らせればよかったのに…って、まさかシステム管理部署の人間が作ってコレじゃなかろうな…)
2:社内セキュリティの状況
弊行では昨年3月及び5月に、全行員を対象に個人所有のパソコンにおけるファイル交換ソフトの使用状況を調査のうえ業務関係情報の削除を指示しておりますが、本件流出したお客さま情報については、平成17年3月から4月にかけて作成されていたものが削除されていなかったものです。
「銀行としては起こらないようにしていた」「このファイルはそれ以前のもの」と、なんとか「うちらはちゃんとしていたよ!」と必死のようだ。
が、「業務関係情報持ち帰るな」という指示が昨年度というのもずいぶん遅い気がする(実際持ち帰られていたし削除もされていなかったし)。
また、「ファイル交換ソフトの使用状況を調査」されて、「使ってます」と答える間抜けがいるとも思えない。
そして流出発覚が
平成19年2月14日(水) 夕刻
どう見てもごく最近使ってました。
そしてこれからの取り組みとして
(1)各部室店に設置のインターネットパソコンについてファイル交換ソフトが導入されていないことの確認を実施。
(2)全行員の自宅パソコンについて、ファイル交換ソフトが導入されていないことおよびお客さま情報等業務上の資料が保存されていないことの確認を実施。
「インターネットパソコン」というステキ表現に、既にして不安(というかものすごい脱力感)を覚えるのだが…ジャパネットタカタでも使わんぞそんな表現。
まあ(1)に関しては、ポート監視やフィルタ、ルータ管理などで可能だろうが、(2)はどうするのか。一人一人家庭訪問するのか。しかしデータなど外付けに逃がしておけばすむし、先も書いたように、ソフトのインストールやアンインストールなど簡単だし。
まさか「すべてのプログラム」を確認して帰るだけだったりするのだろうか。想像するだけで笑える。
それより上を行って、
「自宅のパソコンにファイル交換ソフトをインストールしているものは手を上げなさ〜い」
「シーン」
「よしうちの支店にはいないな」
じゃあるまいと思うのだが。(それじゃ私の高校時代の担任の服装検査だよ)いや待てよ、しかし…
それにしても、未だにNHKのニュースなどでも、この手の情報漏えいの際には、「社員のファイル交換ソフトの使用によって」よりも、「ウィルスによって」と報道されるなあ。
その扱いが完全に「鳥インフルエンザ」とかと同じ「原因不明の怖い奴」「かかっちゃったものは仕方ない、ウィルスが悪い」という距離感の元に喋ってるから、コンピュータオンチがいつまでたっても誤解をしている原因の一つになっていると思う。
ちゃんと「業務用のデータを入れたコンピューターでファイル交換してた奴がヘタ打って」というニュアンスを伝えるべきだ。
この件とは関係ないけれど、PCの家電化に加え、「とりあえずwordとかExcelとか、特定のアプリが使えればいい」という風潮が強まったためだろうか、普段ネットサーフィンやメール、ゲームなどを一丁前にやっておきながら、基本の設定とか基礎知識(自分が今使っているマシンのOSやメモリ・CPUなどについて)を全く知らない、見る方法さえ知らないというユーザーが、年齢を問わず増えてきているのに驚かされる。
むしろ若年層ライトユーザーに多い気がする。「アプリ動かせればいいじゃん」という感覚なのだろう。
この前も、ブラウザやゲームはできるけど、「説明してもコンパネの開き方さえ分からない」「OSの種類さえ知らない(起動時に見える画面は何だと思っているのだろう)」という若い人をサポートする機会があり、ほんとビックリしたっす。ええ。
小中学校からPCに触れる機会を持って育った世代のはずなのだが、リテラシー自体はむしろ低下しているように感じられるのはどーゆーわけか。
「免許」がある話だから、この例えは適切でないかもしれないが…
車に乗る人が「AT乗ってるんだから、変速の仕組みとか知らなくても別にいいじゃない」という感覚なのだろうか。
いやむしろ、「毎日車は乗ってるけど、ボンネットの開け方知りません」という感じかな。
