怖い話といえば、多くの人が思い浮かべるのが幽霊や怪物が出てくる話かと思います。もしくは、殺人事件や大災害、病気などの人命にかかわるようなものを想像する人も多いかもしれません。しかし、そういったものとは少し違った視点の恐怖を含む話というものも現代社会には存在すると思うのです。今回はそういった、やや異なった視点での怖い話がありましたので紹介させていただきたいと思います。
これは、友人から聞いた話です。私の友人は以前、ソフトウェア系の上場企業に勤めていました。その企業はソフトウェアの安全性を売りにしており、主に地方銀行や地方自治体、学校などに業務用のアプリケーションを販売していたそうです。しかし、今から数年前、セキュリティ事故が発生しました。その会社が販売しているソフトを使用していたとある企業でハッキングをされた痕跡が見つかったのです。事故が報告された後、すぐに調査が行われたといいます。調査の結果、友人が勤めていた会社で販売していたソフトに「任意コード実行」と呼ばれる脆弱性が見つかり、ハッキングはこの脆弱性を悪用したものであることが明らかになりました。「任意コード実行脆弱性」というのは最も重篤な脆弱性の一つで、文字通り攻撃されたサーバー上であらゆる操作を実行することが可能となる脆弱性です。
この脆弱性の情報はまもなく顧客にも通知され、通知を受けた顧客からの問い合わせが殺到したそうです。そして、その問い合わせに対する回答方針については社内全体で共有されたとのことです。しかし、その内容はひどいものだったといいます。詳細は分かりませんが、ほぼ確実に情報漏洩が発生しているにもかかわらず情報漏洩は確認されていないと回答したり、セキュリティリスクを矮小化するような回答をしたりといった対応だったようです。
これだけでも恐ろしい話ですが、この話にはまだ裏がありました。なんと、その企業のソフトは安全性を売りにしていたにもかかわらず、セキュリティチェックを一切していなかったそうです。普通、ちゃんとしている企業であればソフトウェアの脆弱性チェックは行うものだと思いますし、場合によっては専門の企業にチェックを依頼する場合もあります。しかし、友人の勤めていた企業ではこれらを一切行っていませんでした。セキュリティチェックを行っていなかった理由は友人にも分からないそうですが、おそらく手間やコストを惜しんでのことではないかとの話です。いずれにしても、安全性を謳うソフトウェア会社、しかも上場企業がノーチェックのソフトウェアを販売していたとは信じがたい話です。
そして、この話にはまだ続きがあります。知っての通り、こういった脆弱性に対してはソフトウェアのアップデートが行われ、修正が適応されます。しかし、友人の話では一部の顧客はUIの変更などを嫌ってアップデートを行っていないそうです。つまり、いまでもここで話したセキュリティリスクが残されている可能性が高いということです。冒頭で語った通り、友人の勤めていた会社の顧客は銀行や自治体などが多くあります。ということは知らない間に私たちの個人情報が危険に晒されているのかもしれません。
コメント