古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

企業の宝、「ソースコード」が盗まれたらどう謝るべきか

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/06/05
企業の宝、「ソースコード」が盗まれたらどう謝るべきか: ソースコードが盗難に © ITmedia エンタープライズ 提供 ソースコードが盗難に

 2017年5月、ちょっと興味深い(当事者にとっては断腸の思いの)報告がブログに掲載されました。Macユーザーにとってはファイル転送ソフトの「Transmit」、そしてWeb開発者にとっては著名なエディタ「Coda」でおなじみのPanicが、ソースコード漏えいのいきさつを同社のブログに掲載したのです。これがとても、生々しいものでした。

●マルウェアに感染した「普通のアプリ」

 このブログによると、きっかけは動画変換アプリとして著名なオープンソースソフトウェア「HandBrake」のアップデートでした。

 特定のダウンロードサイトに置かれたHandBrakeのファイルがマルウェア混入版に置き換えられ、これをダウンロードしてしまうとMacの中にあるログイン情報やパスワードなどが含まれるキーチェーン情報が盗まれてしまうというものでした。

 Panicの開発者が運悪くこのマルウェアに感染した結果、同社の大事なソースコード(アプリケーションのプログラムそのもの)が盗まれてしまったのです。

 同社はすぐにマルウェアを無効にし、秘密鍵と呼ばれる重要な情報を更新。ログを見てどこまで影響が広がったのかを調査したところ、コードの流出が判明したのです。さらに悪いことに、ソースコードを盗んだ攻撃者から「公開されたくなければビットコインを払え」という脅迫を受けたと告白しています。

 きっかけは“ほんのちょっとした注意ミス”だったようです。本来なら起動時に要求してこないはずの「管理者権限を要求するパスワードダイアログ」が表示されたというのです。

 これはWindowsでは「ユーザーアカウント制御(User Account Control/UAC)」と呼ばれる、何かをインストールしたり設定変更したりしたときに出てくるダイアログと一緒です。これだけで気付けるかというと、個人的には、「相当手慣れた、知識のある人でないと難しい」と思います。このブログでは、その点がおかしかったと振り返りつつも、誤ってその要求に応えてしまった社員を責めることはしていないといい、私はこの点にも共感を覚えました。

●自社にとって「何をやられたらアウト」なのか?

 このブログ記事でもう1つ興味深い点は、Panicが「いったい何をやられたらアウトなのか」という点を掘り下げている点です。

 普通に考えると、アプリケーションを作っている会社が、“そのアプリケーションの根幹をなす「ソースコード」を根こそぎ持っていかれる”ということは、考えられる中でもトップクラスの致命傷のはず。しかし、同社はこう書いています。

 「1日1日と、盗まれたソースコードは古くなっていきます。ソースコードは生き物なのです」

 これは多くの企業に対し、今のサイバーセキュリティに対する重要な考え方を示しているような気がします。

 サイバーセキュリティは、“さまざまな新技術をいち早く取り入れ、多くのポイントを守るための製品を入れること”が重要なのではありません。まず、その企業にとって「何をやられたらアウトなのか」を考え、そのために必要なことを行うのが重要です。

 もし、「個人情報を盗まれたらアウト」なのだとしたら、まず、「個人情報が会社の外に出ること」を防ぐ必要があります。そのためなら、もし「感染しても」まだセーフ、「マルウェアが活動してデータベースから情報がテキストファイルにまとめられる」のもまだセーフ。その情報が社外に持ち出されなければ、ギリギリセーフという考え方に切り替えなくてはなりません。

 Panicの場合は、それこそ「社外に持ち出された」という、普通に考えたら完全にアウトの状況まで追い込まれました。しかし、偽アプリやマルウェア混入アプリはソースコードが盗まれる前にも存在していたとし、「アプリ利用者の助けがあれば」まだアウトではない、と定義しました。確かに、私たちが「偽アプリを使わない」「正しい場所からダウンロードする」ということを守れば、まだ、アウトではありません。その意味で、この記事には本当に共感を覚えます(自分もPanicのアプリを愛用していますし)。

 普通に考えたら、企業が情報漏えいを起こすことは容認できないかもしれません。しかし、たとえ情報漏えいを起こしたとしても、今回のような報告書が出れば、多くの企業にとって大きなヒントになるはずです。情報システム部門だけでなく、従業員、そして利用者の立場でも、この情報漏えい報告記事は参考になるはずです。ぜひ、ご一読ください。

●著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon