CNNはSDカードを捨てて当然か

捨てたくなる気持ち

「ニセモノの良心」で孝好氏が「ＳＤファイル、そりゃ捨てるわ。」というエントリを書いている。「ＣＮＮ「廃棄した」…尖閣衝突映像」などで報じられているように、尖閣諸島の衝突映像を YouTube に投稿した海上保安官が、それ以前に CNN に映像を SD カードで CNN に送付したという件である。

まあ、捨てたくなる気持ちがわからないでもない。随分前だが、ソフトウェアのサポートをやっていた頃、ファイルを自己展開形式（.exe）で送ってくる人がいた。当時はフロッピーベースだからファイルを圧縮されるのは仕方がないのだが、いきなり得体のしれない .exe を実行するというのは勇気が要るものだ。当時は今ほどウィルスに過敏ではなかったが、.exe というのはそもそも何をしでかすかわからない*1。そういうときは、何があっても困らないようなマシンでファイルを展開することもあった*2。

孝好氏のエントリにも、検証用のパソコンを用意するくらい安いものだというコメントはついているのだが、実のところ検証が必要な機会というのは滅多にあるものではない。ソフトウェアをテストするためのマシンがあっても、それはテスト用に用意されているので、ファイルを読むためだけに用意されているものではない。全社に1台くらい空いているマシンはあるかもしれないが、そうやって使われていないマシンは、いざ起動してみると Office がインストールされていなかったり、そもそもバージョンが古かったりして使い物にならなかったりする。

そうしたことを思い起こすと、差出人のないメモリカードなど、どうせ責任を問われることもないのだから捨てたくなる気持ちはわからないでもない。

差出人やメモ書きがあれば安全か

読売新聞の記事には、こう書かれている。

ＣＮＮ広報担当は２５日、ＳＤカードを同支局が受け取っていたことを認めた上で、「警備上の指針に従って廃棄した」とする声明を発表した。
声明や広報担当の説明によると、ＳＤカードが入った封筒には差出人名が書かれておらず、データの内容も明記されていなかった。このため、同社は安全性が明確でないと判断し、データを読み込まずに廃棄したという。

つまり、「差出人が書かれていないからデータを読み込むことすら安全性が明確でない」と判断したということのようだ。

しかし、それはおかしい。差出人が書かれていたら、メモリカードは安全に読み込むことができるのだろうか。まさか、手紙が届くたびに差出人に「この手紙を出したのは本当にあなたですか？」と本人確認してから読むわけでもないだろう。むしろウィルスや危険物で危害を与えたいと思うのであれば、架空の差出人を書いたり、体裁を整えて「中身を空けて読んでもらうよう」に努力しているのではないか。つまり、表面的な体裁で「リスク」が変わることはない。たしかに、Windows XP 以前にはフラッシュメモリに対しても確認なしで自動実行機能が実行されることがあり、ウィルスをばらまく恐れはあった。しかし、それは差出人が書いてあっても同じリスクがあるはずだ。

CNN に「警備上の指針」があるくらいなら、Windows Vista 以降の OS をセキュリティ設定を外さずに使っているか、Windows XP の自動実行機能を外しているくらいのことは“当然”しているだろう。そのようなセキュリティ上の設定になっていれば、SDカードを見るくらい恐れることはない。ちなみに、Windows Vista 以降では、メモリカードを一切参照できないようにするというセキュリティポリシーを企業内全体で設定することもできるが、その場合は自分の使っているものすら読めなくなるわけで、「差出人名が書かれていない」ことは理由にならない。普通に送られたメモリカードを読めるなら、今回のSDカードは同じ体制で読み込むことはできたはずだ*3。

補足すると、CNN の公式サイトの最後に「CNN.co.jpへの問い合わせ」というリンクがあるのだが、これが、ただの電子メールアドレス（mailto:）へのリンクになっている（右隣も同じ）。セキュリティ上は、メールアドレスを公開するより入力フォーム形式にする方がずっとよいはずだ。

なぜ破棄したか

烏賀陽弘道氏が匿名発言で逮捕された人を取材した関連で、twitter にこう書いている。

@hirougaya: @unadon386 いえいえ、匿名の内部告発は記事にしません。だって発言者に取材もできないから、真偽さえ確認できない。だからインパクトないんです。無駄なんですわ、要するに。気の毒ですけど。
2010-11-27 14:40:43 via web to @unadon386

要するに「差出人も書かれていないようなものを確認してるほど暇じゃねーよ」ということなのだろう。
しかし、これが写真で送られてきたらどうしたか。捨てただろうか*4。前述のように「中身を確認するリスク」は、差出人の有無に関係ない。SD カードに何が入っているか、くらいは確認してもよかったのではないか。そうでなければ、「差出人のない SD カードに役立つ情報なんてない」という経験則すら導けない。一般企業が差出人不明の郵便物を破棄するというなら、わからないでもない。だが、報道機関なのだから「見る」くらいのことはしてもよかったのではないか*5。少なくとも「警備上の指針に従って破棄した」というのは、ちょっと恥ずかしい対応ではないか。

他の報道機関から、CNN の対応を疑問視する声が上がっているように見えないのも気になる*6。皆、これを「警備上の指針」として当然と思っているのだろうか。当の海上保安官が、YouTube を利用する前にメディアに連絡しようとしていた点は救われる点だし、色々不運が重なった結果という見方もできそうだが、今後のメディアの対応が気になる今日この頃である。

*1:自己展開形式に全ファイル消去のコマンドが仕込まれて、大変な目に遭ったという事件もあった。

*2:私は、実際にトラブルに巻き込まれたことはないが、ユーザーから送られたファイルが元でウィルス感染したというケースはあったように思う。

*3:それが自己展開形式で圧縮されていたら、話は変わってくるが。

*4:孝好氏のブログには「「匿名封筒はすべて破棄」を内規にしている局もある」そうだから、セキュリティとは関係なく捨てるのかもしれない。

*5:当事者は大スクープをふいにしたわけだから、言われなくてもそう思っているだろうが。

*6:知らないだけかもしれないので、違っているようならご指摘ください。