ざっくり解説 時々深掘り

セキュリティ上の危機を見逃すマスメディアの愚について考える

Xで投稿をシェア

カテゴリー:

佐賀県の学校で作っているシステムが無職の少年(17歳)に侵入された。奪われたのは個人情報や背成績などだ。少年は独学でシステムを学び「最新鋭の」システムをハックした。この他にもネットでB-CASカードのハッキングなどを行っていたそうだ。不正に取得した成績は小学校時代の友達と共有されていた。システムの脆弱性はすでに修正されているとのことだ。
報道各社は画一的にこのニュースを伝えているのだが、これは大変愚かなことである。とはいえ、その愚かさに気がつかない人も多いのではないだろうか。
少年は17歳だった。無職とされていることから学校には通っていないようだ。一方で、独学でシステムのセキュリティについて学んでおり、ハッキングに成功している。第一の疑問は、なぜスキルのあるこの少年に仕事がなかったのかという問題だ。
学校には様々なカリキュラムがあり「プログラミングだけを学びたい」というニーズには対応してくれない。だが、日本では学歴がなければまともな仕事につくのは難しい。加えて佐賀県は九州の端に位置しており、たいした産業はなさそうだ。さらに、仕事にありついたとしても日本のIT産業はIT土方と呼ばれており、あまり魅力がない。そもそも仕事がなく、さらにあったとしても少年の知的好奇心を満たすほどの質がなかったことが容易に想像できる。
つまり、日本の産業構造は才能を活かさず埋もれさせていることになる。開発途上国ではこうした人たちは埋もれているだけなのだが、先進国にはリソースがいくらでもある。だから、不正もできてしまうのである。
次の問題はシステムの脆弱性についてだ。「脆弱性」には三つの可能性があるだろう。

  • 第一の可能性はシステムそのものが脆弱だったというものだ。「最新だった」ということだが、公開を前提にセキュリティ管理されていなかった可能性がある。
  • システムそのものは堅牢だったが、脆弱性のチェックに予算がかけられなかった可能性がある。デバッグには人手がかかるのだ。
  • 最後の可能性は、安全対策がめちゃくちゃだったというものだ。パスワードがずさんに管理されていたり、デフォルトのままで使われているなどが挙げられる。システムが堅牢であっても、運用がずさんであればセキュリティレベルは低下する。

17歳のいたずらで破られるということは、例えば中国人が集団でハッキングをしてくれば、容易に破られてしまうであろうことは想像に難くない。同じようなベンダーが国家機密や個人情報に関わりそうな(例えばマイ・ナンバーなど)ネットワークにも潜在的には同じような脆弱性があるのかもしれない。「マイナンバーは気をつけているだろう」と思いたいのだが、実際に運用するのは村役場の職員や臨時職員かもしれないのだ。コンピュータ教育を受けていない可能性は十分にあるだろう。
そう考えるとこれは国防問題なのだが、報道を見ていると「少年のいたずら」に矮小化されていることが分かる。日本人のセキュリティに関する意識は第二次世界大戦中のものとあまり変わっていない。つまり外国の軍艦が大挙してやってくるのが「国防上の危機だ」と考えているのである。
この問題には少なくとも2つのセキュリティ(国防)上の問題がある。

  • スキルのある少年がやることもなく犯罪に走るしかない。潜在的な不満分子と言える。
  • コンピュータシステムが脆弱でリスクを検証する仕組みも整っていない。外国からみると格好のターゲットになる。

それを見過ごして型通りの報道に終始する人たちは、愚かとしか言いようがない。