第26回 ポニー賞と集団訴訟
先月8月世界最大のハッカーの祭典blackhatとDEFCONがラスベガスで開催されました。今年は、3,000人規模の参加者を集めたようです。何かと世間を騒がせたAnonymousもお面をかぶって参加していました。
主催するJeff (Jeff Moss)の話では、日本からの参加者は23人だったそうです。自称ハッカーが世界中から集まるDEFCONの呼び物の一つに、世界選抜12チームが互いに攻撃と防御を競うCTF(Capture The Flag)があります。
今回は、日本からのチーム「sutegoma2」が予選を勝ち上がり、この決勝戦にエントリーしたことで、日本からの参加者が倍増したようです。結果は、最下位となってしまいましたが、今年の敗因分析を十分に行えば、来年に期待が持てるかも知れません。ガンバレ日本!
blackhatとDEFCONの開催時期に合わせて、毎年Pwnie賞の発表が行われることも参加者の注目の一つです。
不名誉なPwnie賞
Pwnieとは、「自分の」という意味の「own」を変化させた「pwn」から派生したハッカーの間で使用されている単語です。自分達のネットワーク(own network)をハッカーに乗っ取られるアホな奴が「pwn」というわけです。Pwnieとはさしずめアホの代表とでもいう意味合いです。Pwnie賞の受賞者には、発音が仔馬のポニーに似ているからか、ポニーをかたどったトロフィーが授与されます。当然のことですが、このような不名誉なトロフィーの受賞者が会場に現れることは、あり得ないことはご想像の通りです。
今年は、残念ながら「Pwnie for Most Epic FAIL」(意味は、各自でお考え下さい)にソニーが選ばれました。日本人として肩身が狭い思いですが、一つの救いは、もはやソニーは日本の企業としてとらえている人が海外、少なくとも会場となった米国にはいないことでした。
大賞を独り占めしたソニーでしたが、意外にもハッカーたちの間では、ソニーの情報漏えい事件が、話題になることは、ありませんでした。なぜならソニーへのハッキング手法は、非常に初歩的な手口であったため、ハッカーの好奇心の対象にならなかったようです。
おびただしい集団訴訟
日本国内でも、すっかり話題にならなくなった一連のソニーの情報漏えい事件ですが、ここ数カ月で一連の事件に関する集団訴訟が一気に仕掛けられています。Anonymousが集団訴訟を煽っている面もありますが、Anonymousが呼びかけるまでもなく、この種の事件が発生すれば必ずと言っていいほど行われるのが集団訴訟です。集団訴訟は、米国の企業経営者が常に意識しておかなければならない、非常に大きなリスクの一つです。60件近い訴訟の中で注目されるのはカナダ人女性が起こしている総額10億C$(約840億円)もの要求を掲げた訴訟です。北米の集団訴訟は、桁違いに請求金額が大きいことがお分かりになると思います。全ての損害賠償請求金額を合計すると、とんでもない金額になることは想像に難くないことでしょう。
損害賠償を求めるこの種の訴訟では、その情報漏えいが過失によって発生したのか、それとも重過失によって発生したのかが争われる点は、日本も米国も変わりないようです。原告側の主張を一つの訴状を例(Case No. '11CV1369L NLS)に、ご紹介しましょう。この訴訟では、複数の秘密証人の証言として6つの点を指摘しています。(以下は、筆者の要約)
1.ソニーは自分たちの特許に関わるサーバーに対してはファイアウォールやIPアドレスによるアクセス制限、ソフトウェアの更新など十分な対策をとっていたにも関わらず、顧客の個人情報に関しては適切な対策をとっていなかった。
はじめに、原告側がこの点を指摘しているのは、ソニーはセキュリティ対策に十分な知見があったことを示すためと思われます。すなわち、今回の漏えい事件が起こりうることの予見がソニーには可能だったこと、顧客のプライバシーよりも自社の利益を優先していたことを裁判官に印象付ける狙いがあると思われます。
2.ソニーはPSE Networkにファイアウォールを設置せず、不正アクセスがあって初めてファイアウォールを設置した。
正確には、「不正アクセスが発生した都度、ファイアウォールを設置していた」と行き当たりばったりの対応をしていたというような表現で、暗にリスク分析に基づいた計画的なセキュリティ対策をとっていなかったことを指摘しています。
3.ソニーは、漏えい事件の直前にセキュリティの保全に必要な従業員を大量解雇していた。
この指摘もまた、ソニーが利益最優先の会社だと陪審員に印象づけることでしょう。大量解雇していたことは、日本のメディアでも報じられていますが、リストラされた元従業員が今回の事件に関わっていた可能性も否定できません。
4.ソニーは幾つかの小規模なハッキングを経験しておりネットワークが脆弱であることを知っていた。
この指摘も今回の漏えいが予見できたことを印象づけます。
5.ソニーは共通ID(same access number)を使用していたためデータ漏えいしやすい状況にあった。
6.ソニーは必要のないクレジットカード情報を保持することで必要以上にリスクを高めた。
複数の秘密証人が誰であるかは推測するしかありませんが、これらの証言が事実でれば、ブランドイメージとかけ離れた、非常にセキュリティ水準の低い企業だと言わざるを得ません。この種の集団訴訟リスクを回避するためにも、平時からPCI DSSに準拠していることが重要です。特に米国では、PCI DSSに準拠していれば損害賠償を免責される可能性もあったと考えられるからです。
訴訟の行方が注目されますが、他の集団訴訟同様に裁判所が集団訴訟として認定する前に和解するのではないかと予想します。集団訴訟で敗訴となれば莫大な損害賠償金が現実のものとなるためです。したがって、ソニーのセキュリティ対策が実際にどの程度のものであったかを知る機会が訪れることはないでしょう。