1: 動物園φ ★@\(^o^)/ 2015/11/13(金) 11:47:54.18 ID:???.net

萩原栄幸の情報セキュリティ相談室:セキュリティ会社元社員の個人情報流出事件の疑問点 (1/2)

F-Secureの元社員がネット上で多くの個人情報を流出させたと騒ぎになった。セキュリティの専門家としてこの出来事で疑問に感じた点を挙げてみたい。

 にわかには信じられない事件が起きた。セキュリティ会社として世界的にも有名なF-Secureの元社員(事件後に退職)が、信条的に「気に食わない」人の意見に対し、これに「いいね」を投票した一般の人の個人情報を故意に流出させてしまったというものだ。

 この事件は様々な意味で興味深く、また今後も事態が変わるかもしれない。事件の底流には現代社会の混沌とした部分や様々な思想、視点によって違う正義などが流れ、複雑化しているようにも思う。今回はセキュリティの専門家としてこの出来事に感じた疑問を挙げてみたい。

 事件の経緯は様々なところで報じられているので割愛するが、疑問点は大きく(1)流出情報の入手方法、(2)会社側の対応――の2つになる。

疑問点1:どうやって情報を入手したのか

 実は、情報を流出させた元社員とはある団体で何度か話をしたことがある。ご本人は覚えていないと思うが、ユニークな性格の方だったと記憶しており、その彼が事件を起こしたと聞いて驚いた。どうしてこういう行為に及んだのかは、本人にしか分からないだろう。ただ、セキュリティ会社の中核を担う社員であり、こういう行為をすることの恐怖は人一倍理解しているはず。本当に残念でならない。

 元社員は個人情報をどうやって入手できたのだろうか。このようなことができると思われる裏ソフトは幾つか存在し、Facebookのセキュリティが完璧ではない(セキュリティ自体に完璧はないが)こともある。しかし筆者は、特定の「いいね」をした人の個人情報を簡単に、数百人レベルで入手できる術を知らない。

 ピンポイントで特定個人の情報を晒すことは、時間さえあればある程度できるだろうが、セキュリティ業界に身を置く人は、まずそういう行為をしないと筆者は思う。過去の実証実験を除けば、個人的な目的でそういう行為に及んだ人を、少なくとも筆者は記憶していない。そこで考えられるのは次の4つの可能性だ。

http://www.itmedia.co.jp/enterprise/articles/1511/13/news044.html



http://awabi.2ch.sc/test/read.cgi/news4plus/1447382874/
2: 動物園φ ★@\(^o^)/ 2015/11/13(金) 11:48:18.40 ID:???.net

>>1
F-SecureとFacebookとセキュリティ面で業務提携しているため、その関係者として情報を入手する術を知っていた?

F-Secure社内にセキュリティの脆弱な部分があり、元社員が密かに情報を入手していた?

単純に元社員にスキルがあった?

元社員に個人的な人脈があり、そこにつながる人間が関与していた?

 まず可能性の(1)、(2)についてF-Secure側は否定をしているので、その真偽を知る術はない。ただ、そもそもピンポイントかつ、「いいね」をした全員を狙ってその個人情報の入手を「実行できる」ということは、論理的にFacebook全ての加入者の任意の個人情報が入手可能ということになる。これ自体が非常に脅威であると筆者は感じている。


セキュリティ会社元社員の個人情報流出事件の疑問点 (2/2)

疑問点2:会社側の対応

 F-Secure側の対応にも疑問を感じるところがある。事件後に少なくともネット上では大きな問題に発展してしまい、事業にも大きな影響を与えかねない状況から、通常なら記者会見が行われる。それが1つもなく、しかも本人が退職したことを公表してしまった。

 本来であれば、まず事実の確認や対応策の目途がつくまでは本人が社員の立場にないと、会社にとって不都合な状況となる。だが、全くそういう経緯が明らかになっていない段階で退職を認め、「既に社員ではない」と公言している。

 これが極めてまずい対応であるのは、同社の説明を聞いた人たちの反応を見れば、明らかだろう。このままでは、日本からの撤退を含めた極めて危機的な状況へ陥ることになりかねない。それが現実になる可能性が出てきてしまっている。少なくとも信頼回復のためのでき得ることのすべてを講じていくはずだが。

 この事件が今後どのように推移するのかは定かではない。元社員が行為に及んだことの分析もなされていくかもしれない。ただ、どんなに不快な表現でも、それに「いいね」をした人の個人情報をさらして相当な被害を出したことそのものは誤りである。セキュリティの世界に身を置く筆者としては何その推移を見守るしか術もないのだが……。



6: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 11:53:46.67 ID:aqmWqBqp.net

個人情報については公開プロフィの集約だって自分ンで言い逃れしてたじゃないか。


40: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:16:46.88 ID:C82XPXOt.net

>>6
「公開されていない情報」も網羅されていたから、公開プロフをコピペしたって当人の証言は崩れてる。



52: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:32:05.99 ID:DYERUn6l.net

>>40
そもそも本当にコピペしただけだったとしても
ソレを数百人分も調べてリスト化するのは相当な時間と労力が必要だから
絶対に一人じゃ無理だし、何かしらのデータベースを覗けないと
人数が居てもこんな短時間でリスト化は不可能だと思うんだよねー



7: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 11:53:56.48 ID:UUiKFDx3.net

外資って問題起こるとクビで尻尾きりが常識だが、事がことだけにそれが逆に災いし日本撤退で業務は代理店に任せるとかじゃ?


10: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 11:56:20.44 ID:VGQAAxbA.net

何か、セキュリティ会社が引き起こした
凄い事件みたいだなあ



16: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:02:34.82 ID:pMntTvvu.net

>>10
みたいじゃなくてセキュリティ会社が引き起こした大事件そのもの
それが一切報じられない事そのものが日本の危機



12: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 11:56:39.98 ID:UsIsqdfH.net

普通、手間暇かかりすぎだからやらないのだがアカの連中は仕事してないから
手作業でリスト化していた、という可能性もあり得る

しかし、だからといって「セキュリティ業界の総力を挙げて個人情報を暴露する」と
宣言していた件が不問になることはないけどな



17: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:02:43.59 ID:y2mntivK.net

F社の中に残党がいるって白状してたぱよ団員もいるし
会社ぐるみでコミュニストなんだろ



18: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:04:39.22 ID:iNovPl7V.net

F-Secureが家電量販店から消えたってマジ??


20: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:05:48.74 ID:eHWhZTUy.net

>>18
疑惑あるものは下げるっしょ



23: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:06:35.32 ID:1DS/W0aG.net

 
386 :名無しさん@1周年:2015/11/04(水) 13:26:22.08 ID:Q66fxYbK0
大手セキュリティスート取り扱いの某社では
F-Secure社員ならびに関連会社社員との接近禁止命令はとっくに出てた
理由はまったく知らんかったが今回ので納得

838 :名無しさん@1周年:2015/11/04(水) 14:11:56.56 ID:Q66fxYbK0
前々スレで接近禁止の話したもんだけど大事な情報抜けてた
接禁はF-Secure JapanのみでF-Secure本体は別ね
まあJapanがあるからF-Secure本体がこっちで何かするってこと自体ないとは思うが



25: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:07:20.21 ID:Nak0Gr5k.net

何故か報じないメディアの対応も疑問
個人情報ガーってのはポーズに過ぎなかったのか



29: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:09:52.49 ID:ImEIEk9E.net

スキルと立場を悪用したことは確かだろうな。

んで本人は何とかして沈静化を図りたくても、
肩持つ奴らがせっせと火に油を注ぐ始末。



33: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:11:40.48 ID:/nsidjVb.net

F-Secureと取引してる会社は危ないってことでつね。わかります


69: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:49:55.61 ID:1ED5yjRW.net

>>33
官公庁の大半がアウトかw
防衛省の情報が共産党に流れてたのも関係あるかもね



38: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:14:50.45 ID:lZMKf9Tc.net

KBTとlSNでなすりつけあいになりそうな気もする


39: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:14:57.17 ID:OFaHRtDp.net

この手の大事件に報道しない自由を駆使するマスゴミなんか本当に要らんと思うわ


44: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:21:03.69 ID:kOfCuBVn.net

何にしても、全ての行動が黒としか判定出来無い時点で

パヨパヨチーン



50: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:30:51.45 ID:46C6ytiA.net

考えてみりゃ、生涯、影でぱよぱよちーんと呼ばれるってすげえよな
とんでもない黒歴史だわ



63: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:43:39.01 ID:E+h3yQrO.net

ざっくり言うと鍵屋がその会社の社員しか知り得ない設計図でピッキングして泥棒してたとか、
銀行の金を輸送してる会社の社員が会社独自のセキュリティを抜けて金をくすねてたとか
その様な疑いがかかってるのに、首切って終わりって感じ?
会社は関与してないのか、他の社員は大丈夫なのか?信用を失うと成り立たない商売なのに、
知らんふりをかましてるよね?



66: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:45:09.12 ID:kwDjCpUI.net

きっとK氏とI氏とT氏の家には
例年を上回る数のお歳暮が
届くんだろうな
クリスマスプレゼントもたくさん貰えそうだし
羨ましいな
きっと盛大なクリスマスパーティーになるだろうな

正月には新年の挨拶に訪れるお客さんも多いだろうし
おせち料理の準備や餅つき、初詣等
楽しいイベント目白押しでほんとに羨ましいなw (´・ω・`)



78: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 13:01:58.26 ID:SwBdMtcd.net

>>66
"暮れの元気なご挨拶"か
羨ましい限りだぜ、まったく



72: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 12:54:12.88 ID:QEq3SLOC.net

なりすましの俺は他人の個人情報を沢山持って、
使い分けしているが。



82: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 13:05:29.54 ID:gM0LQo54.net

レイシストで無い人をレイシストとして誤って拡散したとしたら、重大な人権侵害だよね。

(仮にレイシストであっても拡散は名誉毀損罪になるかもだが・・・)



86: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 13:10:48.79 ID:p+G7t4Yv.net

>>82
彼らの言うレイシストとは、在日に対する正当な批判をする人も含まれるんだよね。
犯罪するな、密入国するな、海外にいるならそこのルールに従え、反日するな、帰化をしたい外国人は日本に忠誠を誓って日本人になるつもりでないとダメ。
これのどこがレイシスト?
私の在日アメリカ人の友達は差別されてない上に、在日問題を知っているけど、ある意味同じ外国人だからこそ在日を嫌ってるよ。



84: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 13:07:17.94 ID:SwBdMtcd.net

住所や電話番号を晒しても問題ないと野間君が言っていたんで
大丈夫じゃないかな(すっとぼけ



87: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 13:12:40.64 ID:IScxLsHQ.net

いいねリストって本当に一般ユーザーが閲覧できる仕組みなの?
だとしたら問題ない、と言いたいところだが
あくまでも一般ユーザーが自分の意志で見たいからいいねリストを参照するのであって
赤の他人がリスト晒しするのは本来の閲覧機能設置目的とは大きく異なってるから外道の行いでしかない。



96: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 13:33:57.84 ID:cbZnJzDm.net

意図的なんだから流出じゃなくて開示だろう


104: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 14:02:39.68 ID:vOJpseLI.net

遅まきながらこの問題についてPFUに問い合わせてるんだ。
scansnapの製品登録で利用してるもんでね。
どういう返事が来るか楽しみ。



107: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 14:09:59.17 ID:f0YVy0DJ.net

そして全く報道されないという異常w


108: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 14:14:19.49 ID:nnd4p8ar.net

>>107
大問題だよなこれ。
この会社、マイナンバーも扱ってるのに。
パンティ盗難どころじゃねえよ。



110: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 14:28:51.30 ID:UjUifWUa.net

>>107
ちょっとずつ場末の雑誌やネットニュースで広まってるけど、
それが逆に大手マスコミがダンマリという異常さを際立たせている、という

まあ大手マスコミにすれば持ち上げている最中でリターンなんてまだ0に等しい連中を、
この段階で手の平ドリルなんてできないんだろうけどw
つい昨日まで「守れ民主主義!ついに立ち上がった若者たちシールズ!」なんてやってたのに、
今日になったとたん「シールズと密接な集団が情報漏えい」なんてことを流せっこない

しばき隊だけを説明しようにも、なんでシールズろの関係がかかれてないんだ、とか、
シールズが実は反日組織で日本に対するヘイトクライムをやっているレイシスト集団だってばれちゃうしな



116: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 15:05:47.01 ID:GCRpeMer.net

共産系の火消し手法
マスゴミ会社に全体的な抗議圧力でなく、マスゴミの内部担当者を個別に呼び出し恫喝まがい



126: <丶`∀´>(´・ω・`)(`ハ´  )さん@\(^o^)/ 2015/11/13(金) 17:45:45.84 ID:y+EegwD+.net

やりようによっちゃ久保田一人の責任で済んでたものを、
変な温情対応しちゃったもんでF-Secureそのものが疑われる状況になってしまっている
まぁしばき隊に関わるような企業はどんどん潰れてくれて構わないけどさ





このエントリーをはてなブックマークに追加




最新記事一覧


他ブログのおすすめ記事