セキュリティに100%安全はない

世間ではコインチェックの仮想通貨不正流出問題で騒がしいですね。10万円から始めて4,000万円まで増やして泡と消えたと言う人の話を聞くと泣けてきます。自分もLily Cameraで詐欺にあったときにはたった6万円ぽっちでしたが泣きそうでした。全額ではないにせよ大半のお金が戻ってきて救われましたが。

次第に明るみに出るコインチェックのセキュリティの甘さ。やられるべくしてやられたんだな...というのが正直な感想です。

どんなにお金をつぎ込んでもセキュリティに100%安全ということはありません

セキュリティのレベルを高めることにはお金が掛かります。99.99999...と、小数点以下の桁数を増やせば増やすほどお金がかかるので、費用対効果の何処でバランスを取るか?ということになります。

どうせ交通事故に遭うようなもんでしょ?

と高をくくって、セキュリティをなおざりにして利益優先に走ると被害に遭うわけです。お客様に「Windowsの修正プログラムがリリースされたのでインストールしてください」「WordPressで脆弱性が見つかったと発表がありましたので、最新版に更新してください」とお願いして素直に実行に移す人がどれだけいるか...。

随分前の話ですが、WebサーバにインストールしてあったCMSモジュールの脆弱性が原因で

  • フィッシングサイトを仕掛けられた為に、海外の金融機関から同時翻訳付きの電話が掛かってきてWebサイトの閉鎖を要求された
  • IRCボットを仕掛けられて、迷惑メールの発信基地(踏み台)にされた

...という自治体を知っています。今は自治体情報セキュリティクラウドが導入されたので、簡単にはやられないようになったでしょう...たぶん。


個人的に借りているレンタルサーバーも不定期で修正プログラムのインストールを行っています。仕事で同じことをやっていますからお茶の子さいさいなんですけども(笑)。業界用語的に修正プログラムをインストールすることを「パッチを当てる」とも言います。「修正パッチを適用する」とか。簡単に言うと「穴(脆弱性)をパッチ(修正プログラムというあて布)で塞ぎます」ということですが、お客様に正確な意図は伝わりにくいでしょうね。

修正プログラムのインストールなんて、必要最低限の処置です。これさえ自前で出来ないようだと...。