まだわかっていないこと
悪夢の続き-データベース
(このお話はフィクションです。実在の人物や団体などとは関係ありません。)
「データベースに個人情報は何件あるのかな?」
「20万件です。」
「侵入者は取り出そうと思えば20万件のデータを取り出すことができた。でもそれをしないで、たった200件のデータだけを取り出した。どうしてだろう。」
「何らかの条件で抽出したのかもしれませんね。」
「掲示板に載せられたデータも無作為に抽出したものではなかったかもしれないね。」
「掲示板に掲載されていたのは30件です。」
「Great firewallの国だからね。電子メールを使わずに何かを伝える手段だったのかもしれない。電子メールは公安当局に盗聴されている可能性もあるだろう。」
「それにしても、何らかの条件で抽出したのなら、データベースの中の構造をある程度把握していたはずですね。」
「そう、データベースの中の構造は、外からだけではなかなかわからないはずだ。」
「つまり、データベースの仕様を知り得る人間か、あるいは何らかの方法で仕様書を入手した人間が侵入した可能性が高いということですね。」
私達は、しばらく沈黙した。
「開発時のドキュメントはどこに保管されていたんですか。」
Dさんが沈黙を破った。
「ドキュメントの保管状況はよくありませんでした。開発者それぞれのPCにも分散していたので、そこから漏えいした可能性もあります。」
A課長が答えた。
「開発時には、途中から開発要員が増員されていますが、あまりよく統制はとれていなかったようです。いくつかの会社からかき集められたようですから。」
「どのようにしてデータベースの仕様を知り得たのか。抽出されたとしたら、どのような条件だったのか。掲示板に掲載された目的は何だったのか。そして日本からアクセスしてきたIPアドレスはどこからなのか。」
独り言のようにB部長がつぶやいた。
暗号化
FREAKやらSuperfishやらSSLがらみでまたいろいろ話題が出ていますね。
y = f(x, a)
暗号化を式で表すとこうなります。yが暗号文、xが平文、aが鍵、fが暗号化アルゴリズムです。えっと、そこから先は勉強中です。
お読みいただき、ありがとうございました。