2015/11/14 01:22
★セキュリティ会社元社員の
個人情報流出事件の疑問点
ITmedia エンタープライズ 2015年11月13日
萩原栄幸の情報セキュリティ相談室
http://www.itmedia.co.jp/enterprise/articles/1511/13/news044.html
F-Secureの元社員がネット上で
多くの個人情報を流出させたと騒ぎになった。
セキュリティの専門家として
この出来事で疑問に感じた点を挙げてみたい。
にわかには信じられない事件が起きた。
セキュリティ会社として世界的にも有名な
F-Secureの元社員(事件後に退職)が、
信条的に「気に食わない」人の意見に対し、
これに「いいね」を投票した一般の人の
個人情報を故意に流出させてしまった
というものだ。
この事件は様々な意味で興味深く、
また今後も事態が変わるかもしれない。
事件の底流には現代社会の混沌とした部分や
様々な思想、視点によって違う正義などが流れ、
複雑化しているようにも思う。
今回はセキュリティの専門家として
この出来事に感じた疑問を挙げてみたい。
事件の経緯は様々なところで報じられている
ので割愛するが、疑問点は大きく
(1)流出情報の入手方法、(2)会社側の対応
――の2つになる。
疑問点1:どうやって情報を入手したのか
実は、情報を流出させた元社員とは
ある団体で何度か話をしたことがある。
ご本人は覚えていないと思うが、
ユニークな性格の方だったと記憶しており、
その彼が事件を起こしたと聞いて驚いた。
どうしてこういう行為に及んだのかは、
本人にしか分からないだろう。
ただ、
セキュリティ会社の中核を担う社員であり、
こういう行為をすることの恐怖は
人一倍理解しているはず。
本当に残念でならない。
元社員は個人情報をどうやって
入手できたのだろうか。
このようなことができると思われる
裏ソフトは幾つか存在し、
Facebookのセキュリティが完璧ではない
(セキュリティ自体に完璧はないが)こともある。
しかし筆者は、
特定の「いいね」をした人の個人情報を
簡単に、
数百人レベルで入手できる術を知らない。
ピンポイントで特定個人の情報を晒すことは、
時間さえあればある程度できるだろうが、
セキュリティ業界に身を置く人は、
まずそういう行為をしないと筆者は思う。
過去の実証実験を除けば、
個人的な目的でそういう行為に及んだ人を、
少なくとも筆者は記憶していない。
そこで考えられるのは次の4つの可能性だ。
1.F-SecureとFacebookとセキュリティ面で
業務提携しているため、
その関係者として情報を入手する術を
知っていた?
2.F-Secure社内にセキュリティの脆弱な部分
があり、元社員が密かに情報を入手していた?
3.単純に元社員にスキルがあった?
4.元社員に個人的な人脈があり、
そこにつながる人間が関与していた?
まず可能性の(1)、(2)について
F-Secure側は否定をしているので、
その真偽を知る術はない。
ただ、
そもそもピンポイントかつ、「いいね」をした
全員を狙ってその個人情報の入手を
「実行できる」ということは、
論理的にFacebook全ての加入者の任意の
個人情報が入手可能ということになる。
これ自体が非常に脅威であると
筆者は感じている。
疑問点2:会社側の対応
F-Secure側の対応にも疑問を感じる
ところがある。
事件後に少なくともネット上では
大きな問題に発展してしまい、事業にも
大きな影響を与えかねない状況から、
通常なら記者会見が行われる。
それが1つもなく、
しかも本人が退職したことを公表してしまった。
本来であれば、
まず事実の確認や対応策の目途がつくまでは
本人が社員の立場にないと、会社にとって
不都合な状況となる。
だが、全くそういう経緯が明らかになっていない
段階で退職を認め、「既に社員ではない」と
公言している。
これが極めてまずい対応であるのは
、同社の説明を聞いた人たちの反応を見れば、
明らかだろう。
このままでは、日本からの撤退を含めた
極めて危機的な状況へ陥ることに
なりかねない。
それが現実になる可能性が
出てきてしまっている。
少なくとも信頼回復のためのでき得ることの
すべてを講じていくはずだが。
この事件が今後どのように推移するのかは
定かではない。元社員が行為に及んだことの
分析もなされていくかもしれない。
ただ、どんなに不快な表現でも、
それに「いいね」をした人の個人情報をさらして
相当な被害を出したことそのものは誤りである。
セキュリティの世界に身を置く筆者としては
何その推移を見守るしか術もないのだが……。
(引用ここまで)
F-Secure社側の、さらなる対応で
大炎上中・・・
★F-Secure社
「当該Twitterアカウントの発言者が
元従業員であるとの確証は
得られませんでした」
痛いニュース 2015年11月13日
http://blog.livedoor.jp/dqnplus/archives/1860178.html
■弊社元従業員による個人的な
ソーシャルメディアの不適切利用があった
とされている件について
http://www2.f-secure.co.jp/news/Statement_to_Partners_and_Customers.pdf
(中略)
2. 調査結果と現在までの対応について
本件について弊社にて調査をした結果は
以下の通りです。
・弊社は法の執行機関ではないため、
公的な機関の協力がなければ、
当該の匿名 Twitter アカウントの利用者を
確実に特定することはできないことから、
当該 Twitter アカウントの発言者が
元従業員であるとの確証は得られませんでした。
なお、11 月 6 日の発表のとおり、
不適切な SNS 利用があったとされている
元従業員は、本人の意思により
既に弊社を依願退職いたしております。
(以下略)
おかしいなぁ・・・
じゃあ、何故
久○田氏は慌てて退職届を出し
会社は即、依願退職を認めたのだろう???
お仲間のC.R.A.C. (しばき隊)は
「久○田氏」と認めていたのですが・・・
なんと! 非公開名簿暴露じゃなくてFBの「いいね!」リストなのか?? #はすみリスト が完全に先んじてた笑 久保田さんGJ!https://t.co/wFpKa8MC1u
— C.R.A.C. (@cracjp) 2015, 11月 6
”久○田さんGJ!”
魚拓
http://megalodon.jp/2015-1106-1840-53/https://twitter.com:443/cracjp/status/662476986372108288
Facebookと言えば・・・
★台湾・民進党の総統候補、
FBに6万超えるコメント
中国大陸からの攻撃か
フォーカス台湾 2015/11/11
http://japan.cna.com.tw/news/asoc/201511110002.aspx
画像
(台北 11日 中央社)
最大野党・民進党の総統選候補の
蔡英文主席のフェイスブックの投稿に
10日夜、中国大陸からとみられる大量の
批判のコメントが書き込まれ始め、
台湾のインターネットユーザーとの間で
非難の応酬が続いている。
11日午後0時50分現在、コメント数は
6万5000件を超えている。
これを受けて蔡氏は11日午前、
中国大陸のインターネットユーザーに
「ようこそフェイスブックの世界へ」
と語りかける文章を「フリーダム」(freedom、自由)
と書かれた画像とともに投稿。
頭文字の「f」にはフェイスブックのロゴが
使用されていた。
文章の中で蔡氏は、
台湾には異なる意見や多様な声があり、
人々が交流や議論を行いながら、
社会をより良い方向へ前進させている
と強調。フェイスブックを通じて、
「新たな友人」にさらに完全な形で
台湾の民主主義や自由、多様性を
見てもらえればと語り、
同サイトへのアクセスが規制されている
中国大陸からの“来客”を歓迎した。
(葉素萍/編集:杉野浩司)
台湾の次期大統領立候補の蔡英文氏、中国人が罵詈雑言スバム攻撃を受けた。中国政府が統一にVPNを発給して五毛狂犬を大量放出。「破廉恥な日本の走狗」の言葉も。 pic.twitter.com/hHtWIPv6g5
— 孫向文 (@sun_koubun) 2015, 11月 11
11月7日の周・馬会談が、1月26日の台湾総統選、立法院選挙への、中国共産党による妨害工作第一弾。それは僕が言ったとおり。そして、これが第二弾目の妨害工作ですね。 https://t.co/EsuLVJRU6K
— 西村幸祐 (@kohyu1952) 2015, 11月 11
>同サイトへのアクセスが
規制されている中国
>中国政府が統一にVPNを発給して
五毛狂犬を大量放出しスパム攻撃
Facebookを自由自在に操る中国共産党・・・
怖い、怖い・・・
★FACEBOOK、政府が支援する
サイバー攻撃阻止の対策に乗り出す
fsecure_blog
エフセキュア株式会社 2015年10月28日
http://blog.f-secure.jp/archives/50756830.html
(引用開始)
ショーン・サリバンは 「TrustedReviews」で
次のように述べています。
「Facebookは人権団体や弁護士に
広く利用されています。
人権団体からサイバー攻撃被害の報告を
受けた場合、
Facebookセキュリティチームは、
アカウントとやりとりをしたIPアドレスや、
アカウントへの攻撃を行ったIP アドレスを
容易に把握できるため、
このような報告によって恩恵を受ける
ユーザを特定できるのです」
(中略)
ロシアの政府系メディア「ロシア・トゥデイ」(英語版) は、
2段階認証の利用を推奨する Facebookの対応
に対し、
ユーザの電話番号を入手するための企てだ
といわれのない批判をした上で、
米国国家安全保障局(NSA)について言及し、
2013年に元契約社員エドワード・スノーデン氏が
暴露したようなNSAの情報収集活動と
今回のFacebookの対応の関連性を
ほのめかしています。
(中略)
ところでFacebookは、
本当にユーザの電話番号を入手したいのでしょうか。
そんなことはありません。
(中略)
これまでFacebookは、
個人情報の取り扱いやセキュリティ対策について
批判されることが多かったのですが、
ここ数年はサービス向上に真摯に取り組み、
個人情報入力の簡素化やスパム防止、有害リンクの
拡散防止に努めてきました。
(続きはリンク先で)
人権団体や弁護士ねぇwww
★日本エフ・セキュアの
代表取締役に桜田仁隆氏が就任
2008年7月4日
http://internetcom.jp/webtech/20080704/5.html
★エフ・セキュア桜田代表取締役、
「日本で一番信頼される
セキュリティの会社になる」
http://cloud.watch.impress.co.jp/epw/cda/topic/2008/07/03/13335.html
★ペンタセキュリティシステムズ
https://ja.wikipedia.org/wiki/%E3%83%9A%E3%83%B3%E3%82%BF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%82%BA
韓国のソウルに本社がある
ITセキュリティ関連の企業である。
ペンタセキュリティは、主にWebアプリケーション
のセキュリティ、データベースのセキュリティ、
そしてPKI(公開鍵インフラストラクチャ)の
ソリューションを提供している
★急増するID、パスワードへの攻撃に
どう対処するか
(ペンタセキュリティ)
2014年7月14日
http://scan.netsecurity.ne.jp/article/img/2014/07/14/34516/10676.html
画像
ペンタセキュリティシステムズ株式会社
代表取締役社長 桜田仁隆氏
http://www.pentasecurity.co.jp/wp/?p=3262
韓国国家情報院のお仕事も
請け負っている会社なのだ・・・怖い怖い!
コメント