やはりソーシャルハッキングだったぞ

　ヤフーＢＢの顧客情報漏洩問題。やはり、ソーシャルハッキングである事が明らかになった。

　現在、ソフトウェアの不備を突いて、保護されたデータを取り出す事を、ハッキングなどという。そこに、高度な情報処理に関する知識が必要なのは云うまでもない。
　本来、高度なコンピュータ技術を持つ人の事を、「ハッカー」と呼び、そういう技術者が技術を使い、魔法のような便利なプログラムを書き上げる事を称して「ハッキング」と呼んだが、その当時、ハッカーやハッキングという言葉には、犯罪を意味する暗い陰は無い。単に、超技術者・超ゴキゲンなプログラミングという意味である。ところが、いつの間にか、ハッカーやハッキングという言葉には、システムの隙をついて悪い事をする人や、悪い事そのものを意味する言葉にされてしまった。
　ソーシャルハッキングというのは、そういうイメージが付いた後に生まれた言葉で、技術力を使うのではなく、社会的な（非技術的な）手段を用いてデータを取り出す事だ。
　一番簡単なのは、その人の使いそうなパスワードを予測する事だ。妻子やペットの名前・生年月日と云う組み合わせをパスワードにしている人はかなり多いらしい。
　次に簡単なのは、その人のコンピュータの周りに、パスワードが書かれた附箋が貼ってあったりしないか、見てみる事だ。日本の企業だけの問題ではないが、アカウントやパスワードを、コンピュータの側に置いているオフィスは、意外と多い。
　こうした、ちゃんとしたシステムでも運用がいい加減になっている事を利用して、機械ではなく人間の隙を突くことでデータをを取り出すのが、ソーシャルハッキングだ。
　たとえば会社で、その人がゴミとして捨てた定期検診の結果報告書を拾えば、生年月日と血液型など、改まって本人訊くのは何となく変な情報も簡単に手に入る。
　たとえばトイレに立った人が置いて行った背広の内ポケットの財布の中から、銀行のキャッシュカードを取り出して調べてみる。カードの裏面や、カードと同じポケットに入っている小さな紙片に小さく数字が４つ書いてあったら、それの組み合わせがパスワードである可能性が非常に高い。しかも、それがそのまま、クレジットカードのパスワードである可能性だってある。

　今回の、ヤフーＢＢの事件は、もっと単純だった。顧客情報を触る立場にあった元社員の口から、パスワードを聞き出したのだと云う。
　派遣社員だったというが、身分は問題ではない。派遣社員であろうが正社員であろうが、守秘義務というものをどう考えたかというだけの問題である。もちろん、秘密を守れない可能性のある人間を、重要部署に付けたという事でもない。
　本来、守秘義務等と云う、本人の善意や社会通念と云う、守らせる側の都合の良いモノに頼ったシステムを構築することが問題なのだ。
　打ち込み業務をしていたり、検索業務をしていて、自分が打ち込むデータや探したデータの内容が記憶に残ってしまうことは誰にでもある。これに関しては、守秘義務が必要であり、本人の資質が一番の問題にされても仕方ない。
　しかし、今回のことはそうではない。
　本来、アカウントとパスワードを着任時に個別に作り、退職・転属した人に関しては、すぐに削除するということを行っていれば、「前に勤めていた派遣社員からアカウント・バスワードが漏れる」なんていう心配はしなくていい。心配しなくていいから楽なのは管理部門だけのことでなく、退職・転属した当人にとっても、もう自分のアカウントやパスが悪用されることが無いのだから、気が楽だ。
　そういうちゃんとした運用をしておらず、既に部門に居ない人が使っていた旧いアカウントが残っていたばかりに、今回、とんでもない数の個人情報が流出することに繋がった。
　つまり、ただ単にヤフーという企業の中で、ちゃんとしたシステム運用が為されてなかったのだ。

　これが普通の会社であれば、まあ、気をつけよう、引き締めようで済むかもしれない。しかし、実際には、この企業は、他人の情報を預かることが商売のヤフーであった。企業やそこを含む企業グループが何を考えているかは別として、ヤフーというネット上のサービス自体は、ネット社会の根幹を成すサービスの１つだと思う。言わばインフラストラクチャーである。であれば、その根幹を成すインフラストラクチャーとしての責任というものが、自ずと発生する。
　要は、企業理論と、公共公益の理論のせめぎ合いである。そして、ここで企業理論が優先されるようなことがあれば、公共性を失ったサービスは没落せざるを得ない。
　この事後処理は、ヤフーの企業としての命運を左右する。是非、心して掛かり、企業として、サービスとしての信頼を、回復して頂きたいと思う。