米国のセキュリティ事情 ―誤った「セキュリティ」が招いた悲劇
企業におけるセキュリティ問題に起因する被害というと、ウィルスなどに感染したことによって、PC やネットワークが使用不能になって業務遂行が困難になるとか、機密情報が漏洩するといったものが、まずあげられるのではないかと思います。
しかし、被害はそのような企業にとって直接不都合なものばかりとは限りません。企業のセキュリティ対策が不充分だったために、無辜の社員が人生を棒に振ってしまう可能性もあるのです。
今回は、米国で実際にそのような不運に出くわしてしまった人物の話題をまず紹介します。
事件は昨年 2007年3月に起こりました。
当時、マサチューセッツ州労働災害局調査員だった マイケル・フィオラ (Michael Fiola) 氏は、児童ポルノ画像を業務で使用していたノートパソコン内に保持していたとして突然解雇されたのです。しかも児童ポルノ規制法違反で起訴され、最悪の場合、懲役2年半を言い渡される危機に面してしまったのです。
児童ポルノ画像など保存した記憶など全くなかったフィオラ氏にとってはまさに青天の霹靂。職を失ったばかりか、「児童ポルノ」ということもあり、社会的信頼、そして友人までも失ってしまったのです。
その後、セキュリティの専門家による慎重な調査の結果、証拠とされた児童ポルノ画像がフィオラ氏の意思で保存されたものではなく、ウィルスなどのマルウェアによって「勝手に」保存されたものであることが明らかになり、一方的な解雇から 1年以上が経った今年の 6月、ようやく起訴が取り下げられることになったのです。
今回のケースでは、幸い「無実」が立証されましたが、そもそもこの「悲劇」は一体何故起こったのでしょうか?
問題のノートパソコンを調査した専門家によれば、そもそもの原因はパソコンの設定ミスにあったようです。
当時、フィオラ氏の職場では、業務で用いるパソコンに対して最新のセキュリティアップデートが自動的に適用されるように設定することになっていました。しかし、フィオラ氏に支給されたノートパソコンは、その設定が間違っていたために、最新のアップデートが適用されることなく脆弱なままになっていたのです。
更に悲惨なことに、フィオラ氏のノートパソコンにインストールされていたウィルス検知ソフトも設定の不備などが原因で正常に動作していなかったのだそうです。
このような状態のパソコンを使ってインターネットに接続したらどうなるか、想像に難くありません。事実、当該パソコンからはさまざまなマルウェアや不審なスクリプトなどが発見されたそうです。こうして感染したマルウェアが児童ポルノのサイトに「勝手に」アクセスし、そこにある画像ファイルをフィオラ氏のあずかり知らぬところで「勝手に」ダウンロードしたのです。
今回はフィオラ氏とその妻が粘り強く無実を訴え、調査を専門家に依頼したおかげで真相が明らかになり、無実が証明されたわけですが、それでもフィオラ氏が払った代償は決して小さいものではありません。
このように、企業のセキュリティ対策の不備が 1人の人間の人生を大きく左右してしまう可能性もあるということを、この事件は示していると言えます。
この事件が示す教訓はこれだけではありません。もう 1つ、別の「恐ろしさ」もこの事件は示しています。
ここで注目すべきは、今回の件でマルウェアが勝手にダウンロードした画像ファイル、すなわちフィオラ氏が児童ポルノ画像を保持していたと見なされた画像ファイルの保存場所です。
調査の結果、起訴の証拠となった画像ファイルはすべて、ブラウザのキャッシュディレクトリに保存された一時データ、つまりユーザーが明示的にダウンロード保存したものではなく、(何らかの理由で) 児童ポルノサイトにアクセスした結果として一時的に保存された画像データに過ぎなかったことが判明したのです。
この事実もまたフィオラ氏の無罪を示す証拠とされたようですが、逆に恐ろしい問題も示唆しています。
例えば、マルウェアとは無関係に、もし知らずにたまたまアクセスしてしまったサイトに児童ポルノ画像が (例えばサムネイル画像のような形で) 貼り付けられていたらどうなるでしょうか?
ブラウザの設定にもよりますが、ユーザーが画像ファイルを明示的にダウンロードしなくても、サイトに貼り付けられた画像データが一時ファイルとしてブラウザのキャッシュディレクトリに保存されてしまうのです。
そしてこの一時ファイルをもって「児童ポルノ画像の所持」と見なされ起訴されてしまう可能性もあったわけです。
今回の一件で、一時ファイルは保存・保持を目的とした明確なダウンロードによるものとは見なされなくなったと思われますが、それにしても一体何が原因で法律違反と見なされるか分からない「住みにくい」世の中になったものだと暗澹たる気持ちになります。
特に今回の事件は、「児童ポルノ」に過敏になるあまり、冷静な判断を失った人々によって引き起こされた悲劇とも言え、同時に、法律を定めてもその運用がいかに難しいかを示していると言えます。
取り敢えず、身の安全を守るためにも、不審なサイトにアクセスしないだけでなく、キャッシュディレクトリに保存された一時ファイルはこまめに削除しておいたほうが良さそうですね。
PC World (2008-06-16)
State Worker's Child Porn Charges Dropped; Virus Blamed
BostonHerald.com (2008-06-16)
Probe shows kiddie porn rap was bogus
ABC News (2008-06-18)
A Misconfigured Laptop, a Wrecked Life
Computerworld.jp (2008-06-19)
PCの誤設定で人生を棒に振った不運な男の話
少々古い話題ですが、フィオラ氏の事件の前にも似たようなセキュリティ対策の不備によって引き起こされたのではないかとされる事件がありました。
2004年10月にコネチカットの中学の代用教員ジュリー・アメロ (Julie Amero) 氏が、授業中に教師用端末にポルノ画像を表示させ、生徒たちの目に触れさせたとして逮捕起訴され、2007年1月に有罪判決を受けたのです。
この事件はその後、専門家などから、問題の教師用端末が、メンテナンスされていないためにマルウェアに感染して勝手にポルノサイトにアクセスした可能性が指摘され、再審が進められているようですが、本稿執筆時点では明確な結論がまだ出ていない状態です。
しかし、もし専門家の指摘通りであれば、これもまた恐ろしい話です。
フィオラ氏もそうですが、この女性教師もパソコンの専門家ではありません。あくまで一ユーザーとして、充分にメンテナンスされていると信じて使っていただけのパソコンに、このような酷い目に遭わせられるとは思ってもみなかったでしょう。
米国の場合は、法律も、そしてその運用も過敏過ぎるように見えますが、同じようなことが日本でも起こらないとは限りません。
セキュリティ対策そのものも重要ですが、それだけでなく、セキュリティにかかわる法律の運用も慎重に、そして冷静に行なわなくてはいけないということを、今回紹介した「事件」は示していると言えるでしょう。
Internet Watch 海の向こうの"セキュリティ"
セキュリティの甘いPCに濡れ衣を着せられるかも?
Network World (2007-03-12)
Crime and punishment and technology
NBC32.com (2007-03-06)
Professors Defend Teacher Accused Of Exposing Students To Pornography
Wikipedia
State of Connecticut v. Julie Amero
次回は、再びアジアのセキュリティ事情を紹介します。
[2008年7月18日発行]
■執筆者プロフィール
山賀正人 (やまが まさひと)
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳家 (英語、韓国語)、プログラマ、コンサルタントとしても活動中。JPCERT/CC 専門委員。
Web サイトは http://www.yama-ga.com/
