登 大遊＠筑波大学大学院コンピュータサイエンス専攻の SoftEther VPN 日記

２年前のセンター試験の裏で起こっていたデータ流出事件をご存知ですか？

近年、世間のネットワークセキュリティに関する関心が高まっている。非常に良いことである。セキュリティ関係のビジネスも百花繚乱、小さなところから大企業まで事業に参入して大々的にマーケティングを行い、セキュリティビジネスで一儲けすることができる時代である。

同時に、必要以上に危機感を煽りたて自社の製品やサービスを購入させようとする風潮もあるようだ。偉大なる 山口英先生 も、

＞ 今のセキュリティ業界は、危機感を煽る「狼が来るぞ」的なビジネスをやってますけど、それってやっぱりうさんくさい。

と仰っている。

まぁ、そういうことは置いておいて、ここ２年くらいはセキュリティに関することが大流行であり、今後も数年間は続くだろう。

SoftEther VPN / CA もそういう波に乗ってエンタープライズでの利用率がもっと向上すれば好ましいと思う。普通のセキュリティ製品は、データ流出やウイルス感染などの不利益を防ぐためのものが多く、どちらかと言えば『否定的なもの』を『防止』するためのものという方向性が強いのだが、SoftEther VPN / CA ソフトウェアは、正しく使用すれば『盗聴や改ざんなどを阻止することができる』だけではなく、『既存のセキュリティ製品と組み合わせて安全・便利な通信ができる』 という重要な特徴を持っている。この部分をいかに生かしてユーザー数を伸ばしていくかがポイントである。

さて、「個人情報保護云々」などといったことが盛んに騒がれるようになったのは、２年程前ぐらいの頃からだと思う。それ以前は、どちらかというとセキュリティといえば不正アクセスやウイルス感染などを防止するためのものであり、個人情報という１ジャンルについて他と比べてとりわけ重要視され話題に上ることが多くなったのは、割と最近のことである。

ちょうど今から２年前に起こった、あるデータ流出事件について詳解してみたいと思う。これは、『大学入試センター試験』に関する大量の機密情報が、コスト削減等のために普通のＰＣサーバーベースのシステムで処理されるようになり、かつそのサーバーがインターネット側から接続可能であったために発生したものである。

■ 平成１５年度センター試験データ流出事件

２年前の大学入試センター試験のデータ流出事件を発見し通報したのは私である。

具体的には、この年のセンター試験の１９万７０００人分の成績データの流出である。私はこれまでにいくつかの個人情報に関連する大規模な脆弱性を発見し報告したことがあるが、その中で最も古く、かつ３本の指に入るくらい大きなものである。

ちなみに、あの時ダウンロードできた１９万７０００人分のセンター試験データは、持っていてもろくな事は無いので、とっくの昔に封印した。

当時、私は高校３年生であった（ちなみに、受験はできなかった。すでに筑波大学にＡＣ入試で合格していたためである）。

以前は携帯電話の解析やネットワーク通信プログラミングなどを趣味でやっていた私が、ネットワーク・セキュリティに関することに初めて深く関わり、それ以降強い興味を持ったきっかけは、この事件である。

このときのことは、事があまりにも重大であったので、関係者より口止めをされ、少なくとも約１年間は（ほとぼりが冷めるまで）公表しないで欲しい と強く念を押されていた。

慣習として、技術者がネットワークサービスや製品についてセキュリティに関する問題を発見した場合は、すぐに当事者に通報し、必要であれば簡単な概要を公表し、当事者がそれから一ヶ月くらい時間を置いてから、詳細な技術的情報を公表するという手順を踏むのが好ましいとされている。

セキュリティ問題を発見しても、即刻技術的詳細を公表すると、それを見た悪意のある人が悪用する可能性がある。しかし、いつまでも隠したままにしておくのはやはりタブーである。ある程度の時間を空けてから技術的詳細について公表することは、同様の問題の再発防止につながり、社会に貢献することになる。

だが、この事件については事情が異なったようである。まず、流出したのは大学入試センター試験を受けた１９万７０００人分の、個人を特定できる情報（仮名、高校名、クラス名、出席番号 など）とセンター試験受験全科目の成績データである。

これが漏れたという事件の事実が大々的に報道されると、センター試験を終えて二次試験に備える大学受験生の中には、心理的にダメージを受ける人がいるかも知れない。そのような人に影響を与えたくはない。

次に、規模が大きすぎる上に内容が個人のプライバシーに深く関わる情報（成績データは大抵の人が最も他人に知られたくない情報の一つである）であり、かつ流出させたのが文部科学省管轄の某機関なので、事の重大さは計り知れないものであった。仮にこの事件が発生直後に大々的に報道され批判されたとなると、責任者や担当者の首が飛ぶだろう。

これらの事もあり、当時高校３年生であった私は、当事者である機関や高校からの、今回のことについては約１年程度は隠しておき、あまり公表しないで欲しいという要請を受けたので、あまり技術的な詳細については公表することは控えていた。

マスコミも、当事者が事件発生直後に Web サイトで掲載した控えめな謝罪文に書かれている部分のみを報道した（それ以上の情報を彼らは持っていなかった）だけであり、幸いあまり大きな騒ぎとはならなかった。

私は、このような大規模なデータ流出を目の当たりにし、セキュリティホールを発見し報告し開発元に修正させるというようなことを、２年前のセンター試験直後の日、たった１日でやり遂げた。これは詳しく書くと専門誌の特集や１冊のセキュリティ書籍化することができるくらい珍しく面白いものであったが、残念ながら上記のような理由でそういったことは控えていた。

しかし、すでに発生から２年ほどが経過した今、この事件の技術的な部分、つまりネットワーク・セキュリティに関しての技術的議論の対象となり、将来にわたっての教訓となるべき部分については、ある程度公表しても良いのではないかと考える。この件については大分ほとぼりが冷めてきているし、今更騒ぎになるというようなことは考えにくい。したがって、詳細を公表することによる公共の福祉への貢献のほうが、それによる混乱や不利益よりも勝ると考えている。（もちろん技術的な詳細について解説するだけであり、流出データそのものを公開する訳ではない。）

あとは、どのように公表するかである。このような個人の日記に書くのは筋違いのような気がする...。

とにかく、上の事件は自分がセキュリティについて関心を持った最大のきっかけである。もしこれが無ければ、今は全然違うことをしていると思う。

■ その後次々に発見した脆弱性

上記の高校３年生のときの事件以来、ネットワークセキュリティについては強い興味を持っていた。その後、色々な偶然が重なり、個人情報に関与しているオンラインシステムの脆弱性などを、今までに立て続けに発見してきた。もちろん、いずれも即報告し修正することを勧告した。大半は修正されたが、対処方法が分からないのか、予算が無いのか、未だに残っているものもある。

上記のセンター試験データ流出よりもさらに重大なセキュリティホールの発見・報告もしたが、それについてはあまりにも重大すぎることなので（公表するととんでもない事になる）、自分がじいさんになったころまで秘密にしておくことにする。