［米国］
有名ハッカーがセキュリティ対策に関する“会社の恥”をネットに投稿して解雇

米国小売り大手TJXの店舗スタッフの行動は「若さゆえの過ち」か？

（2008年05月26日）

　米国の小売り大手TJX Companiesの現場スタッフが、勤務中に発見した情報セキュリティ上の問題について公に発言したことで職を失った。このスタッフはカンザス大学の学生で、カンザス州ローレンスにあるT.J.Maxxパイン・リッジ・プラザ店で働いていたニック・ベンソン（Nick Benson）氏。同氏は電子メールでの取材に対し、専有情報の公表による社内ポリシー違反で5月21日に解雇されたと述べた。

　TJXは2007年に大量のデータ盗難被害にあってから、情報セキュリティについて神経質になっていた（関連記事1、関連記事2、関連記事3）。このデータ盗難は、同社の無線LANのお粗末なセキュリティ対策が原因だったと見られている。この事件では9,400万件に上るクレジットカードおよびデビットカード口座の情報が危険にさらされ、同社は法的な問題解決のために数千万ドルの出費を余儀なくされた。

TJX Companiesのセキュリティ対策の甘さが、CrYpTiC MauleRのハンドルで書き込まれた

　解雇されたBenson氏は、「CrYpTiC MauleR」というハンドルを持つハッカーとしての活動で有名で、Full DisclosureやSla.ckers.orgといったWebフォーラムのコンピュータ・セキュリティに関するディスカッション・グループの常連投稿者だ。同氏はこうした場での投稿で、TJXのパスワード・ポリシー、サーバ・セキュリティ設定や、同社店舗にファイアウォールをインストールした技術者の能力を批判していた（Sla.ckers.orgのスレッド）。

　「Benson氏は、“正体不明の賢い犯罪者”にとって目新しいニュースは何も公表しなかったが、発見した問題を適切なルートで開示しなかったのが誤りだった」と、Sectheory.comのCEOで、Sla.ckers.orgのサイト・オーナーでもあるロバート・ハンセン（Robert Hansen）氏は語った。同氏は23日、Benson氏が解雇されたことをブログで初めて取り上げた。

　Hansen氏は、同氏のWebサイトの多くの執筆者と同様に、Benson氏のことを気の毒に思っているとコメントした。「彼は若く、ルールを知らなかった。情報セキュリティ業界ではよくありがちなことだ。情報開示の経験がない、理想主義的な若者が失敗を犯しやすい。彼に同情している人の多くは、ほぼ同じような経験がある」（Hansen氏）

　Benson氏は、発見した問題を、TJXの店舗マネジャーと地域の損失防止担当マネジャーに報告したが、早急な改善措置は講じられなかったと語った。Hansen氏によると、TJXは、Benson氏がWebサイトへのコメント投稿時に使ったIPアドレスから、同氏の身元を割り出したようだ。

　TJXは21日にBenson氏と面談し、発見した問題をすべて説明するよう求めた。同氏は説明した後、その場で解雇されたという。

　TJXはこの記事のためのコメント依頼に応じなかった。Benson氏によると、TJXは、同社のセキュリティ問題についてこれ以上口外した場合は、法的措置を講じる可能性があると同氏に警告したという。

(Robert McMillan／IDG News Serviceサンフランシスコ支局)