排他制御忘れによる情報流出
2018/5/7
【コメント】
情報流出が発生してしまった。しかも、IT推進を進めるIPA(情報処理推進機構)のIT試験であるIPパスポートの受験者情報である。
開発元は違うとはいえ大きな衝撃であることには間違いない。
今回の流出は、とある複数の企業がほぼ同じタイミングで自社受験者情報の情報を抽出しようとした時に発生した。なんとも偶然であり、事実、システム稼働開始後数年間もこのような問題は起きなかった。
今回の事件の原因の1つが「SYSOUTファイルに排他制御をかけなかった」とのことだ。SYSOUTファイルとは簡単に言うと情報を書き出すファイルである。このファイルを「共有」できてしまったことが原因である。
しかしこのSYSOUTファイルだが、メインフレーム上のプログラム開発では、SYSOUTファイル出力の機能をよく使うが、自動で独立して作られるため、排他制御や名前の重複を気にせず使える。しかし、今回のオープンシステムでは違う。こういった仕様(?)の違いも1つの原因であった。
ちなみに私はネットワークエンジニアだが、STPやHSRPなどなど、様々なプロトコルで「Priority」の設定をするが、Priorityが高ければメインになるのか低ければメインになるのか、プロトコルによって違うのはやり辛い。無理やり当てはめるとこういうことであろうか。
【記事】
ITパスポート試験の受験者情報が漏洩、偶発的な操作でバグ発覚
【URL】
http://tech.nikkeibp.co.jp/atcl/nxt/mag/nc/18/020600011/041700006/?ST=nxt_thmit_security&P=1