Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

IPAの個人情報漏えい発表は実は試験問題にするため!?

ITパスポート試験のサイトで2つの団体申込者が同時にCSVファイルリクエストをかけたところ、二つの団体の情報が合わさった情報がそれぞれのファイルに落ちるという、あまり最近では聞いた事がない個人情報漏えいの発表がIPAから3月13日にありました。

tech.nikkeibp.co.jp

 IPA広報によると、原因は複数のユーザーが同時にアクセスした際の排他制御がシステムから抜け落ちていたことだという。CSVファイル生成のリクエストがあった際には単一のファイルしか生成しないため、二つの団体申込者の両方の情報が記載されたファイルが生成され、それぞれの団体申込者がダウンロードできる状態になった。

(日経 xTECH記事より引用)

 

記事を見る限り、2団体から外に情報が漏れたことは無いようですので、実害はありません。

とはいえ、IPAと言えば我々セキュリティに携わる人にとっては指針となる/役立つ情報を提供してくれる神様みたいなところです。今回の件は、、

 

 その日のうちに、ITパスポート試験の実施やシステム運用を含む運営業務の委託先である日立製作所に対し、これら二つの団体申込者から「ダウンロードされた情報に異常がある」との連絡があったという。IPA日立製作所から報告を受けた。

 

とあるので、おそらくサイト構築は日立製作所の管轄だったのだろうと思います。

日立さんが・・・こんな簡単な実装ミスするのか?」それが今回の事件に対する素朴な疑問です。

 

www.pc-master.jpデータベースを構築(あるいはアクセス制御)を考えた時に、初心者SEでも教わりそうな内容ですし、実際に今回被害が発生したITパスポート試験では試験範囲に入っているはずです。

 

参考: 排他制御|ITパスポート試験ドットコム

 

つまり、、実はこれはIPAや日立さんからの「世の中の人々はこうした初歩的な実装を気をつけるべきである」というメッセージ性が入っていたのではないかと穿った見方ができるのではないでしょうか。(関係者に迷惑をかけているのでそんな事はなく単純ミスだったようですが)

 

 

次の情報処理安全確保支援士(SC)試験辺りには、こうした単純ミスを防ぐための正しいチェックの仕方・・といった記述問題が自虐的に登場しそうな気がするIPAの発表でした。

 

www.ipa.go.jp

IPAの説明文の「プロフェッショナル集団」が看板倒れといわれて欲しくないなぁ。。。

 

ブルースクリーンのイラスト

 

更新履歴

  • 2018年3月17日PM(予約投稿)