ゼロデイ攻撃かか、それともやはり情報漏えいでは?
未だに解決の目処はたっていないのだろうか。
今回の7payのセキュリティ問題は「2段階認証」や「パスワードリセット」ではなく、「そもそもの原因が現時点で不明な点」にある。
筆者の知り合いが7payで30万円の被害に遭っている。当人はモバイル決済の分野では専門家で、「7iD」に登録したIDと16桁のパスワードの組み合わせは他のサイトでは用いていないもので「リスト攻撃」は難しく、さらに7payのチャージ用パスワードはこの7iDとは異なるものを設定している。
これだけ厳重に設定を行ないながら、わずか1日弱でパスワードを突破されてクレジットカードからアカウントに30万円チャージが行なわれ、ごく短時間に一気に店舗決済に利用されてしまった。被害者の話によれば7iD自体は以前から使っていたもので、仮に7payのサービス開始前にすでに7iDが乗っ取られていたとして、チャージ用パスワードが短時間で突破するのは、実質的な総当たり攻撃である「ブルートフォース」を用いたとしても難しいだろう。
7payの母体である「7iD」やそれを利用する「オムニ7」のシステム。2015年に既存のショッピングサイトを取り込む形でスタートしたオムニ7は、セブン&アイHD自らが管轄する。
すでに3年以上の稼働実績があり、もし、そのシステムに潜在的なセキュリテイホールがあり、事前に把握していた実行犯はZero dayすなわち、サービスイン当日に犯行を実施.買子の手配はその前に行われていることは、事前からの周到な準備と計画性がある。
私は、やはり内部情報漏えいではないかと思える。
その根本的原因は、システム開発体制の可視化と監視管理のずさんさであり、ビジネス変化への対応要求つまり厳しいスケジュール管理とコストの管理のみになっていることだ。
エンドユーザは、ビジネスモデルのみを構築し、開発は外部に丸投げ。セキュリティは非機能要件なので構築者たるSIer範疇であり、エンドの社長が「2段階認証」を知らないことは本筋ではない。
社長は、銀行マン出身でファイナンスのプロでありビジネスモデルのみを理解している。かつて銀行のIT部門にはITのプロがいたが、かの社長は営業畑の人間である。
システム開発には高度なITノウハウが必要であるが、開発全体でそのノウハウを要求されるのはごく一部の設計者だけであり、圧倒的人工=コストは、限定されたプログラム作成知識で可能である。
それが、多次元下請け業界構造の根底にある。
Googleには今年3月現在、世界で約12万1000人の臨時・契約従業員がおり、フルタイム社員の10万2000人を上回っている。こうした従業員は通常、人材派遣業者を通して採用する。
非正規従業員はGoogleだけでなく、シリコンバレーでは一般的だという。パロアルトの人材派遣会社OnContractingは、ほとんどのテクノロジー企業で派遣社員の比率は40~50%に上るとNew York Timesに語っている。フルタイム正社員を雇うのに比べ、年間10万ドルを節約できるためだという。
「ゴーストワーク」
テクノロジーの魔法を支える下請労働者は、Googleだけの話ではないとする専門家もいる。人類学者のMary Gray氏とコンピューター科学者のSiddharth Suri氏は先ごろ、「Ghost Work: How to Stop Silicon Valley from Building a New Global Underclass」(ゴーストワーク:シリコンバレーが世界に新しい下層階級を生み出すのをどう止めるか)という本を著した。「ゴーストワーク」は、WebやAIのシステムでインテリジェントなサービスを実現するために働く“目に見えないゴーストのような労働力”を言う。テクノロジー業界には、コンテンツのフラグ付けや、校正など裏方で手間のかかる仕事がある。両氏は、既に米国人の推定8%が1度以上、こうした仕事をした経験があるとみている。
元請けのSIerは、PMと呼ばれるスケジュールとコスト管理のみしかおこなう。
実装経験も実装技術も持つ必要もなく、低収益の実装を行うことは会社としては損失と見なされている。
結果、実装技術自体は、評価するマネージメントはされない。
昨年10月と今年3月に発生したボーイング737 MAX 8型機の墜落事故ではソフトウェアに問題があったとされているが、同型機のソフトウェア開発の一部はアウトソーシング先の低賃金の労働者が行っており、時給が9ドルのスタッフもいたという話が出ている(Business Insider JAPAN、Bloomberg)。
ボーイングはコスト削減のため開発をアウトソーシングしており、アウトソーシング先には航空宇宙分野に関する知識や経験が少ないインド企業も含まれていたという。エンジニアとしてのキャリアが少ないスタッフもおり、コードが正しくないために開発の手戻りが発生することも少なからずあったという。
いっぽうボーイングは、これら企業は事故に関連があると疑われているシステムの開発には関連していないとしている。
コストとスケジュール制約を打破するのは、システム開発現場では、人的リソース追加というデスマーチしかない。それが、結果として、多次元下請けを悪化させる。結末はフリーランス、人材派遣そしてオフシェアという海外流出になる。
果たして、開発情報の秘匿性は著しい支障が生じても不思議ではない。
