ずさんな管理のレンタルVPSサーバー(実話)
ここからのお話は先週私が遭遇した実話なのです。
何を言ってるの?と思われた方。こんな怖い話が実際にあるのです。
私はMT4トレードのために数社のレンタルVPSを借りているのですが、お値段によって性能や使いやすさにはそれぞれ一長一短があります。
最近、KVMサーバーを借りて自分でOSを入れてみたのですが、管理者権限もあるしIISとかDNSサーバーも入れるとあまりに快適・汎用性高なので、それまで借りていた数社のレンタルVPSサーバーを撤退することにしました。
そして、某VPS会社(このVPSはWindows共有サーバーでセッションを利用して共有している形態だったのですが、低価格ながらも安定していて気に入っていたのです)で稼働させていたEAとかのファイルを自サーバーに移していたとき、あることに気がついて愕然としました。
なんと自分のフォルダのアクセス許可にAdministratorからのフルアクセス権が与えられていたのです(汗)。
もちろん、すぐに拒否設定をしましたが、時は既に遅し。借りてからもう何ヶ月も経っているのですよねー(汗)。
そもそもセキュリティのアクセス許可なんて拒否設定が当然と思っていますし、今まで属性なんて開くこともなかったのです(>_<)。
そこで、同じコンソール内の他ユーザーのフォルダを片っ端から調べてみました。
そうしましたら、D:\AAA(仮名) というフォルダに、ユーザーグループからのリードオンリー許可が初期設定のままで残っているのを発見(笑)。
もちろん、中を見てみました(^^;。そこには複数のMT4フォルダが存在していて、よく見るFX○DとかAl○ariとかのフォルダが並んでいます。
同コンソール内ってことは、MT4のTeminal.exeをクリックすると、そのまま別セッションで接続できてしまうということですね(汗)。
IDからAAAは管理者グループのユーザーのようです。
禁断のexpertsフォルダの中も見てみました。
なんか、私も使っていた見たことのある商用EAが並んでいます(汗)。 他にもいかにも怪しげな名称のEAもありますね(苦笑)。
(以下、ほんの一部のみ抜粋) ……………………………………………………………………… Black Swan Forex.mq4 CallerEA.mq4 EAKAIN SCALPER PRO 2010.mq4 EAKSP0310.mq4 EUR-USD_Scal_5M.mq4 FOREX Combo System 1.46-hide_indis_no_expire.mq4 Forex Shocker 2.0XE N1.mq4 Forex-Giga_V2_license_edu.mq4 MegaDroid~121.mq4 Pips_Miner_SE.mq4 Primeval-EA_v1.0.mq4 Progressor 1.9-edu.mq4 Robin-VOL-1.6.0_edu_nodll.mq4 TradeMax21.mq4 VictoryFX_type3_v1.01.mq4 VolatilityFactor_v3.0.mq4 WallStreetForexRobot_v3.8.mq4 WhiteTiger_cracked.mq4 ・・・・ ・・ EA_Toaru_Otome_No_LossCut.mq4 (仮名) ←←←←(汗)
………………………………………………………………………
えっ?!EA_Toaru_Otome_No_LossCut.mq4 (仮名)だって??? これはっ!??
中を開いてみたら、案の定私が書いたコードです(>_<)。 このEAは作った後に自分だけで使っていたものですから、他の人が持っているということは絶対にありえないもの。
つまり、VPS管理グループ側のユーザーが同コンソール内の顧客のEAをコピーして、しかもそれをバックアップフォルダとかではなく、明らかに稼働目的で自分のMT4のexpertsフォルダに入れたということです。
酷い話ですよね。 あまりの衝撃に真っ赤になりつつ、コンピュータ名とかフォルダ構成のスクリーンショットを撮ります。 Terminal.exeからはRegistrationタブでライブ口座のIDや名前も把握できました。
それらを証拠にVPS会社を問い詰めることにします。 まずはサポートに連絡です。(文章は会社を特定できないように若干変えています)
Subject: 使用中のVPSサーバーについて --------
本日VPSのファイルメンテナンス中に、あるものを見つけました。
まず、今更ながら、私のフォルダのアクセス許可を見るとAdministratorからフルアクセス権が与えられているのをみて、アクセス権限の確認をせずにそのまま使っていたことに愕然としたわけですが、まあ、ここまでは他ユーザーグループからは見えないようですからまだいいです。でも、これは大問題ではありませんか?
ここで、同じドライブ内でフォルダを開いて見ると
D:\AAA
あれ? 管理者グループのフォルダ、他ユーザーからもしっかり見えていますよ。 同じコンソール内だとログインアクセスもできてしまいます。
http://xxxxx.com Name : xxxxx Email : admin@xxxxx.com Login : xxxxx335 Password : xxxxxbhE6
・・・
そして、その管理者グループのフォルダ内に気になる文字を見つけました。
D:\xxxxMT4\experts\EA_Toaru_Otome_No_LossCut.mq4・・・
・・・どこかで見たファイル名ですね。 他にもどこかで見たことがあるファイルがいくつかありますが、まあ、これらは入手しようと思えば ネットからもできるファイルなのでとりあえず無視します。
しかしですね、EA_Toaru_Otome_No_LossCut.mq4 このEAは私の自作の未配布EAで、他の人が持っているということは絶対にありえないものなのです。
明らかに私のフォルダからコピーしたということが確定ですよね?。
WEBを見ますと貴社ののプライバシーポリシーに次の文章がありますね。
「・・・・は個人情報を取得する場合には適正な手段で取得するものとし、法令により例外として扱われるべき場合を除いてその利用目的をあらかじめ公表するか、取得後速やかにお客様に通知します。但し、お客様から書面で直接取得する場合には・・・・」
この行為ははたして適正?例外??なのでしょうか? 何か特別な理由があったとしても理由も何も私には全く連絡いただいておりませんが?
ここまでの文章はつとめて平穏に書いていますが、私はどれだけ憤慨しているかわかりますか?。
この時点で、貴社に対する信頼を完全に失ったことは確かです。 管理者権限で顧客ユーザーのフォルダから自分のexpertsフォルダにEAをコピーするとかどういうことでしょうか? まずはこのことに対しての貴社の理由や言い訳、今後の対応などを具体的に聞かせていただきましょうか。
Catherine
翌日メールで返事がきました。
Subject: Re:使用中のVPSサーバーについて -------- このたびはご迷惑をおかけいたしました。お詫び申し上げますとともに、今回の事態を踏まえて当社として、再発防止に努めてまいります。 会社としてコンプライアンス・企業倫理などの浸透・定着の取り組みが必ずしも十分ではなかったと認識し、改めてコンプライアンス教育のあり方を見直し、コンプライアンス意識の向上に努めます。また、さらなる企業倫理の徹底、法令遵守の強化に努めていきます。 当社は、お客さまの個人情報の機密性・正確性を確保するため、データの漏えい、滅失または毀損の防止など個人データの安全管理のために、個人情報の保護に関する法律他関係法令等を遵守して個人データの安全管理に努めます。
○○○○会社○○
はぁぁ??! それだけ? 見事なまでにお詫びの定型文をコピーしたような文章ですね(汗)。 すぐに追撃です。
Subject: Re2:使用中のVPSサーバーについて -------- ・・え?・・これで終わりですか?
こんな短いコピーしたようなお詫びの定型文を見たかったわけではないのですが? 全くと言っていいくらいに反省の色が感じられませんよね。
少なくともコピーしたEAの削除、今後一切の使用を行わない事などを書いた顛末書(始末書)を書面にて直筆のサインと社印入りで出す事くらいはしてもいいのではないでしょうか。
VPSを借りると言うのは、言うなれば不動産に置き換えれば大家さんと店子の関係ですよ。 大家が店子の部屋に無断で入って物を盗んだって事なのではないでしょうか?。
こういったSEとして管理上到底許されないことをこんなことで簡単に済まそうとするのであれば、他の利用ユーザーにも周知しておかないとまた被害者を出しそうですね。
せめてコピーした当の本人が直接5W1Hに従って状況を説明する責任はあるのではないですか?。 返信の文章には私が要求した具体的な理由や言い訳もなく、私が書いた文章よりもずっと短いわけで、これでは到底納得できません。 信頼しているVPSでこのような事をされたらどう思うか、少し逆の立場で考えてみたらいかがでしょう?。
もしもこのまま放置されるのであれば、社名・実名入りで事の顛末を詳細に記事にしてネットで貴社VPS利用ユーザーへの注意喚起をさせていただきます。 私の個人情報もそちらにもあるわけですから、もちろん消費者センターへの連絡も一緒にしたいと思います。
以上
即日、お返事が来ました。 今度はホントに社印が押印された顛末書がついています。
Subject: Re3:使用中のVPSサーバーについて -------- Catherine 様
お世話になっております。誠に申し訳ございませんでした。 添付の通り顛末書をお送りいたしますのでよろしくご査収ください。
よろしくお願いいたします。 ============================================
顛末書 平成25年1月23日 Catherine 様
当社「○○○○」について○○様から御指摘のありましたエキスパートアドバイザー (以下、EAという)に関して、下記の通り調査結果を御報告いたします。
記
1.当社担当者、○○○○は、○○○○の負荷が高くなる事象が時折発生してい たためサーバー負荷の調査を行うため、当社ユーザー○○様のEAを管理用フォル ダーのEAフォルダーにバックアップいたしました(日時不明)。
2.担当者は、サーバー負荷の調査を行うため○○様のEAをバックアップしたも のの業務輻輳のため、○○様のEAの負荷調査を行うことなく当該EAを削除するこ とを失念いたしました。
3.お客様の御了解を得ずにEAの負荷調査を行おうとしたことは、お客様の信頼 を損なう事態であり、お詫び申し上げますとともに、今回の事態を踏まえて当社 として、再発防止に努めてまいります。
4.バックアップした○○様のEAはすでに削除済で、当社には存在いたしません。 したがって、今後利用することは一切ございません。
5.会社としてコンプライアンス・企業倫理などの浸透・定着の取り組みが必ず しも十分ではなかったと認識し、改めてコンプライアンス教育のあり方を見直し、 コンプライアンス意識の向上に努めます。また、さらなる企業倫理の徹底、法令 遵守の強化に努めていきます。
6.当社は、お客さまの個人情報の機密性・正確性を確保するため、データの漏 えい、滅失または毀損の防止など個人データの安全管理のために、個人情報の保 護に関する法律他関係法令等を遵守して個人データの安全管理に努めます。
以上
○○○○会社○○ 代表取締役 ○○○○
・・ほう・・。サーバー負荷の調査を行うためEAをバックアップ?・・私のフォルダのEAを? しかもあなたの使っているブローカーのexpertsフォルダに??
まったく合理性に欠ける、理解し難いことこの上ない理由ですが、VPSの会社をこれ以上問い詰めるのも本意ではないのでこれで許してあげることにしました(優しい!きゃさりん!(笑)←)。 顛末書の内容の真偽はわかりませんが、これ以上調べようがないですし、さらに突っ込んだところで押し問答になるだけでしょうから。
そもそもそのEA、もう使ってないしね・・。
以上がこの数日で起こった出来事です。VPS管理会社が認めて社印入りの顛末書もありますから紛れもない事実です。
このVPSに限らず、VPSの利用者はこう言った不正が100%無いとは限らないという事を念頭に入れておいた方がいいかもしれませんね。
やろうと思えばHDDからデータ復旧だってできちゃいますし。 変な業者を使うと想定外なリスクがあるという良い勉強になりました(汗) 。
こ、今度やったらただじゃおかないんだからねっっ・・ (もう使いませんけど)
Catherine
|