ジャマイカ政府の新型コロナアプリ請負業者Amber Groupが今月2度目のセキュリティ事故

Amber Groupは、ジャマイカ政府のJamCOVIDアプリ及びウェブサイトの秘密鍵とパスワードが漏洩した2つ目のセキュリティ過失を修正した。

米国時間2月21日にセキュリティ研究者がTechCrunchに語ったところによると、Amber GroupはJamCOVIDのウェブサイトに誤ってファイルを残してしまい、そのファイルにはJamCOVIDのサイトとアプリを実行しているバックエンドシステム、ストレージ、データベースへのアクセスを許可するパスワードが含まれていたという。同研究者は、ジャマイカ政府からの法的な影響を恐れて、匿名を要求した。

このファイルは、環境変数(.env)ファイルとして知られており、クラウドアプリケーションの動作に必要なサードパーティサービスの秘密鍵やパスワードを格納するためによく使用される。しかし、これらのファイルはうっかり公開されたり、誤ってアップロードされることもあり、悪意のあるハッカーによって発見された場合、クラウドアプリケーションが依存しているデータやサービスへのアクセスを得るために悪用される可能性がある。

露出された環境変数ファイルは、JamCOVIDのウェブサイト上のオープンディレクトリで発見された。JamCOVIDのドメインは同国保健省のウェブサイトにあるように見えるが、JamCOVIDのダッシュボード、アプリ、そしてウェブサイトは請負会社であるAmber Groupが管理・運営している。

露出されたファイルには、JamCOVIDのAmazon Web Services(AWS)データベースとストレージサーバーの秘密認証情報が含まれていた。このファイルには、JamCOVIDがテキストメッセージを送信するために使用しているSMSゲートウェイのユーザー名とパスワード、メール送信サーバーの認証情報も含まれていた。(漏洩したパスワードやキーを試したり使用することは違法であるため、TechCrunchはテストしていない。)

Amber Groupが管理・維持しているJamCOVIDのウェブサイトで発見された、露出されたクレデンシャル情報の一部。(画像クレジット:TechCrunch)

TechCrunchがAmber Groupの最高経営責任者Dushyant Savadia(ドゥシャント・サヴァディア)氏に連絡を取り、セキュリティ事故を知らせたところ、同氏はしばらくして露出ファイルをオフラインにした。またTechCrunchは、コメントは差し控えた同氏に対し、秘密鍵の取り消しと交換を求めた。

ジャマイカ政府はAmber Groupとの契約や関係を継続する予定なのか、JamCOVIDアプリとウェブサイトのセキュリティ要件はAmber Groupとジャマイカ政府の双方で合意されていたのかなど、コメントを求めたが、ジャマイカ国家安全保障省のMatthew Samuda(マシュー・サムダ)無任所大臣は取材や質問に応じなかった。

今回の漏洩の詳細は、カリブ海に拠点を置くサイバーセキュリティ会社Escala 24×7が、最初のセキュリティ過失の後、JamCOVIDのサービスに脆弱性は発見されなかったと主張した数日後に明らかになった。

EscalaのCEOであるAlejandro Planas(アレハンドロ・プラナス)氏は、先週のコメントに先立ち、同社が2つ目のセキュリティ過失を認識していたかどうかについての発言を辞退し、同社は機密保持契約を結んでおり、「追加情報を提供することはできない」とだけ述べた。

この最新のセキュリティ事故は、Amber Groupが過去1年間にジャマイカを訪れた何百万人もの旅行者の入国記録と、新型コロナウィルスの陰性テスト結果をホストするパスワードなしのクラウドサーバーに安全対策を施してから1週間も経たないうちに発生した。島を訪れる旅行者は、渡航許可を得るためにはフライト前に新型コロナウィルス(COVID-19)のテスト結果をアップロードする必要がある。サーバー上で情報が流出した被害者の多くは米国人だ。

先日のあるニュース報道では、Amber Groupのサヴァディア氏が同社はJamCOVID19アプリを「3日以下で」開発した、と語っていたと報じられた。

Amber Groupもジャマイカ政府もTechCrunchに対してはコメントしていないが、サムダ無任所大臣は地元ラジオで、セキュリティ上の過失について犯罪捜査を開始したと語っている

関連記事:シスコ・NEC・アラクサラが重要インフラ向け機器サプライチェーンの真正性確認にブロックチェーン活用

カテゴリー:セキュリティ
タグ:ハッカー データ漏洩

[原文へ]

(文:Zack Whittaker、翻訳:Aya Nakazato)

カリフォルニア州車両管理局がデータ流出を警告、請負業者がランサムウェアに襲われる

カリフォルニア州車両管理局(DMV)は、請負業者がランサムウェアに襲われたことを受け、データ漏洩の可能性があると警告している。

DMVによると、2019年から全国データベースでの住所変更の確認に使われているシアトル拠点のAutomatic Funds Transfer Services(AFTS)が、2021年2月初めにランサムウェアに襲われたという。

メールで送られた声明の中で、DMVは今回の攻撃によって「過去20カ月分の名前、住所、ナンバープレート番号、車両識別番号(VIN)を含むカリフォルニア州の車両登録記録」が流出した可能性があると述べた。しかし、DMVはAFTSは顧客の社会保障番号(SSN)、生年月日、有権者登録、在留資格、運転免許証の情報にアクセスすることはできないため、それらは危殆化していないと述べている。

DMVによると、AFTSへのデータ転送は現在すべて停止しており、ダウンタイムを防ぐために緊急契約を開始したという。

AFTSは支払いや請求書の処理、住所の確認などに全米で使用されている。すでにいくつかの自治体データ漏洩の影響を受けていることを確認しており、カリフォルニア州DMVに限った攻撃ではない可能性を示唆している。

TechCrunchの取材に対し、セキュリティ企業Emsisoftのランサムウェア専門家で脅威アナリストのBrett Callow(ブレット・キャロウ)氏は、「Cuba」ランサムウェアグループが攻撃の背後にある可能性が高いと語った。TechCrunchは、Cubaランサムウェアグループが使用していることが知られているダークウェブサイトが被害者としてAFTSをリストアップし、同グループが「財務書類、銀行員との通信、口座の動き、貸借対照表(および)税務文書」を盗んだ、と主張していることを確認できた。

Cubaのランサムウェアサイトは、AFTSから内部の財務データや税金データをハッキングして盗んだと主張している(スクリーンショット:TechCrunch)

ランサムウェアは通常、企業のファイルを暗号化し、身代金と引き換えにファイルのロックを解除する。しかし、多くの企業にはバックアップがあるため、一部のランサムウェアグループは社内の機密データを盗み出し、身代金が支払われない限り、盗まれたファイルをオンラインで公開すると脅す手段に出る。

「Cubaは2019年12月に最初に注目された、データ窃取ランサムウェアグループです」とキャロウ氏はTechCrunchに語った。「しかし、彼らが公開しているデータの一部はそれより何カ月も前に盗んだと主張しているので、それ以前から活動していた可能性があります。このランサムウェアは暗号化型(secure)で、暗号化されたデータは、身代金が支払われない限り復元できないことを意味します。ほとんどのグループが単に盗んだデータを公開するのに対し、Cubaは場合によってはデータを売ろうとします。ただし、それが成功しているかどうかは不明です」。

Emsisoft独自の調査によると、2020年の間に1300以上の公的機関や民間企業のデータがリークサイトで公開されていたとキャロウ氏はいう。「他の多くの組織は、公開を防ぐためにお金を払っているでしょう」と同氏は述べている。「これは非常に大きな問題であり、断固とした行動が取られない限り、悪化する可能性が高い事態です」。

TechCrunchはCubaランサムウェアグループにコメントを求めたが、まだ返答はない。

AFTSからはすぐにコメントを得ることができなかった。同社のウェブサイトはオフラインのままで、短いメッセージが表示されている。「AFTSのウェブサイトと関連するすべての決済処理ウェブサイトは、技術的な問題により利用できません。可能な限り速やかに復旧させるよう努力しています」。

カリフォルニア州車両管理局のSteve Gordon(スティーブ・ゴードン)局長は次のように述べている。「DMVと契約している企業が保有する情報を保護するため、セキュリティを強化するための追加対策を検討しています」。

2020年、カリフォルニア州のDMVは、保釈保証人や私立探偵などに運転者の個人情報を売ることにより、年間5000万ドル(約52億8000万円)以上の収益を得ていると報じられた

カリフォルニア州には、3500万台以上の登録車両がある。

【更新(米国時間2月19日)】Emsisoftから得られたCubaランサムウェアに関する情報を更新した。

関連記事:

カテゴリー:その他
タグ:カリフォルニア州車両管理局ランサムウェアデータ漏洩

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Zack Whittaker、翻訳:TechCrunch Japan)

とあるウェブカムアプリが数千人のユーザーアカウント情報を漏洩

数千人のユーザーがインストールしているウェブカメラアプリはパスワードなしで、ユーザーデータが詰まったデータベースをインターネット上に公開してしまった。

Elasticsearchデータベースは、ZeeporteやUminoといった、複数のウェブカメラを閲覧したり、制御したりするためのアプリAdorcamに属している。セキュリティ研究者のJustin Paine(ジャスティン・ペイン)氏がデータ漏洩を発見しAdorcamに連絡したところ、Adorcamはデータベースを保護した。

ペイン氏はTechCrunchと共有したブログ記事で、データベースには数千人のユーザーに関する約1億2400万行のデータが含まれており、その中にはウェブカメラの位置情報やマイクの有無、カメラが接続されているWi-Fiネットワークの名前など、ウェブカメラに関するライブ情報や、メールアドレスなどウェブカメラの所有者に関する情報が含まれていたと述べている。

ペイン氏はウェブカメラからキャプチャした画像がアプリのクラウドにアップロードされている証拠も発見したが、リンクの有効期限が切れていたため確認できなかった。

さらにペイン氏は、アプリのMQTTサーバー用のデータベースから、ハードコードされた認証情報を見つけた。MQTTはインターネットに接続されたデバイスでよく使われる軽量のメッセージングプロトコルだ。同氏は認証情報をテストしなかったが(米国では違法であるため)、脆弱性についてアプリ開発者に警告し、開発者はパスワードを変更した。

ペイン氏は新しいアカウントでサインアップし、データベース内で自分の情報を検索することで、データベースがライブで更新されていることを確認した。データの機密性は限られていたが、同氏は悪意あるハッカーが説得力のあるフィッシングメールを作成したり、その情報を恐喝に利用したりする可能性があると警告した。

Adorcamはこの事件についてユーザーに通知する予定があるかどうかなど、米TechCrunchからのメールに返信していない。

カテゴリー:セキュリティ
タグ:データ漏洩

画像クレジット:TechCrunch / in-house

原文へ

(文:Zack Whittaker、翻訳:塚本直樹 / Twitter

ネットワーキング機器メーカーUbiquitiが顧客データ漏洩の可能性を発表

ルーター、ウェブカメラ、メッシュネットワークなどのネットワーキング機器を販売する大手メーカーの1つであるUbiquitiが、顧客に同社のデータ漏洩を警告した。

Ubiquitiは米国時間1月11日に顧客に向けた短い電子メールの中で、サードパーティのクラウドプロバイダーがホスティングするシステムへの不正アクセスを認識したと述べた。なお同社は、クラウドプロバイダーの名前やデータ漏洩がいつ発生したのか、セキュリティ問題の原因が何なのかを明らかにしていない。米TechCrunchはUbiquitiの広報担当者はコメントを求めたが、回答は得られなかった。

Ubiquitiは顧客データが流出していないことと「断言できない」と述べている。

「漏洩したデータには、顧客の名前、メールアドレス、アカウントの暗号化されたパスワードが含まれている可能性があります」と、顧客へのメールには記載されている。「データには、顧客の住所や電話番号が含まれている可能性があります」。

メールにはパスワードがスクランブル化されていると書かれているが、Ubiquitiによるとハッカーが盗まれたパスワードを利用してアカウントに侵入することを難しくするためには、ユーザーがパスワードを更新し、2要素認証を有効にする必要があるという。

Ubiquitiアカウントのユーザーはウェブからリモートアクセスし、ルーターやデバイスを管理できる。

Ubiquitiは顧客に送信されたメールに誤字が含まれているとの苦情が複数寄せられた後、すぐにそのメールをコミュニティページに投稿して、電子メールが本物であることを確認した。

カテゴリー:セキュリティ
タグ:Ubiquitiデータ漏洩

画像クレジット:Ubiquiti

原文へ

(翻訳:塚本直樹 / Twitter

ネット上の怪しい活動を検知したTaskRabbitがユーザーのパスワードをリセット

TaskRabbit(タスクラビット)は、ネットワーク上の「怪しい活動」を検知し確認したとして、無数の顧客のパスワードをリセットした。

IKEA(イケア)が所有するオンデマンドの家事代行マッチングマーケットプレイスであるTaskRabbitは、十分な注意を払いつつユーザーのパスワードをリセットし、「ユーザーアカウントへの不正アクセスを防止する対策を講じた」と、TaskRabbitの広報担当者はTechCrunchに話した。

同社は後に、それがクレデンシャルスタッフィング攻撃であったことを認めた。これは、漏洩によって入手したユーザー名やパスワードを使い、別のウェブサイトのアクセスを試みるという攻撃だ。

「私たちは十分な注意を払って行動し、多くのTaskRabittアカウントのパスワードをリセットしました。これには、2020年5月1日からログインしていないすべてのユーザーと、そのほとんどがユーザーによる通常の利用ではあったものの、攻撃の最中にログインしていたすべてのユーザーが含まれます」と広報担当者は述べた。

「TaskRabbitコミュニティの安全とセキュリティが最優先であることに、変わりはありません。今後もユーザーの個人情報を守るために警戒は怠りません」と広報担当者はいう。

TaskRabbitの利用者は、具体的な理由は明かさず「セキュリティ上の予防措置」としてパスワード変更を行ったとだけ書かれた漠然とした電子メールで、この件を知らされた。TechCrunchは、このメールが本物であることを確認している。

TaskRabbitの利用者に送られたパスワードのリセットを伝えるメール(画像クレジット:Sarah Perez/TechCrunch)

利用者情報やアカウント情報の漏洩によって、個人情報が盗まれたり不正アクセスされるというセキュリティ上の問題が生じた際に、企業がパスワードのリセットを行うのは珍しいことではない。

2019年、アパレル系のオンラインマーケットプレイスStockX(ストックエックス)は、当初「システム更新」のためのとして利用者のパスワードをリセットしたが、実はネットワーク上の怪しい活動を発見した(未訳記事)後の行動だったことを認めている。数日後、あるハッカーが、680万件のStockXのアカウント記録(未訳記事)が同社のサーバーから盗まれていたとTechCrunchに教えてくれた。

TaskRabbitのフリーランスを対象とした労働力マーケットプレイスは2008年に創設され、条件の交渉ができる仕事やお使いのオークション型プラットフォーム(未訳記事)から、利用者と請け負い業者とをマッチングさせる、より成熟した利用者ごとに対応したマーケットプレイスに成長した。やがてそれはIKEAの目に留まり、TaskRabbitがストラテジックバイヤーの市場で買い手を探し始めた2017年9月、IKEAは同社を買収した。

しかし買収後1年目に、TaskRabbitは「サイバーセキュリティ事故」のためにウェブサイトとアプリを閉鎖する事態(未訳記事)に追い込まれた。同社は、システム攻撃で不正アクセスされたと後に公表(未訳記事)している。TaskRabbitの当時のCEO、Stacy Brown-Philpot(ステイシー・ブラウン・フィルポット)氏によれば、同社は、攻撃によってどの顧客情報が危険にさらさたかを特定するために外部の犯罪捜査チームと契約し、ユーザーと仕事の提供者の双方に対して、アカウントが怪しい活動に狙われていないか監視を続けるよう警告を発したという。

同社は攻撃の後、数々の新しいセキュリティ対策を導入し、それによりログイン時の安全性がさらに強化されると話している。また、仕事を依頼する側と受ける側の双方のデータのうち、保管されるものの量を減らし、さらに「ネットワークのサイバー犯罪の検知技術を全体的に強化する」とも話していた。

ブラウン・フィルポット氏は、2020年の初めにTaskRabbitを去り(未訳記事)、以来CEOは、元Airbnb(エアービーエヌビー)とUber Eats(ウーバー・イーツ)のAnia Smith(アニア・スミス)氏が務めている(PR Newswire記事)。

関連記事:Ikea、便利屋サービスのTaskRabbitを買収

カテゴリー:セキュリティ
タグ:TaskRabbitサイバー攻撃データ漏洩

画像クレジット:TechCrunch

原文へ

(翻訳:金井哲夫)

Spotifyがユーザーパスワードをリセット、バグによる個人アカウント情報流出後に

Spotifyによると、同社のシステムのソフトウェア脆弱性がビジネスパートナーにプライベートアカウント情報を公開したとして、ユーザーパスワードをリセットしたという。

Spotifyはカリフォルニア州司法長官事務所に提出したデータ漏えいに関する通知の中で、「特定のビジネスパートナーのメールアドレス、好みの表示名、パスワード、性別、生年月日が含まれているかもしれません」と述べている。同社はビジネスパートナーの名前を挙げておらず、「この情報を一般公開していない」と付け加えている。

Spotifyによるとこの脆弱性は4月9日までは存在していたが、11月12日まで発見されていなかった。しかし他の多くのデータ漏洩と同様に、Spotifyは脆弱性が何であったのか、ユーザーアカウントのデータがどのようにして流出したのかについては述べていない。

「我々は内部調査を行い、お客様のアカウント情報にアクセスできた可能性のあるすべてのビジネスパートナーに連絡を取り、誤って開示された可能性のある個人情報が削除されたことを確認しました」と、Spotifyは述べている。

Spotifyの広報担当者であるAdam Grossberg(アダム・グロスバーグ)氏は、Spotifyユーザーの「ごく一部の人数」が影響を受けていることを確認したが、具体的な数字は示さなかった。Spotifyのユーザー数は3億2000万人以上で、加入者数は1億4400万人となっている。

同社がユーザーのパスワードをリセットするのは、この数カ月で2度目だ。

2020年11月にセキュリティ研究者は、ハッカーによって運営されていると思われる安全ではないデータベースを発見し、約30万件のユーザーパスワードが盗まれていることを発見した。このデータベースはおそらく、盗まれたパスワードのリストを同じパスワードを使用している別のウェブサイトと照合する、クレデンシャルスタッフィング攻撃のために使用されたと考えられる。

今回流出したデータはSpotify経由のものではなかったが、同社は影響を受けたユーザーアカウントのパスワードをリセットした。

関連記事:データ漏洩通知は行間を読め、本当の意味を解読する方法

カテゴリー:ネットサービス
タグ:Spotifyデータ漏洩

画像クレジット:Martin Bureau / Getty Images

原文へ

(翻訳:塚本直樹 / Twitter)

コロナ禍の中問われるサイバーセキュリティ課題、エンジニア向け学習サービスに注目が集まる

コロナ禍の中問われるサイバーセキュリティ課題、エンジニア向け学習サービスに注目が集まる

コロナ禍のテレワーク拡大により、オフィス勤務を前提として構築されていた企業のセキュリティ対策が問い直されている。

内閣府が6月21日に発表した「新型コロナウイルス感染症の影響下における 生活意識・行動の変化に関する調査」によると、コロナ禍でテレワークを経験した人の割合は日本全国で34.6%。23区に絞ると、55.5%にのぼる。

テレワークが浸透したことにより生産性の向上などの恩恵を受けた企業もある一方で、セキュリティ課題も浮き彫りになっている。8月には国内企業38社が修正プログラムを適用しないままVPNを使用し続け、不正接続の被害に遭うという事件が報道された。

さらに企業のセキュリティ対策だけでなく、個人のリテラシーも問われている。一般社団法人JPCERTコーディネーションセンターマルウェア Emotet の感染拡大および新たな攻撃手法について)によると、7月以降、コンピュータウイルス「Emotet」への感染を狙う攻撃の件数が大幅に増加した。Emotetは取引先や友人を装うなど感染への工夫を凝らしており、JPCERTコーディネーションセンターは注意を呼びかけている。

この背景にはテレワークにより一元的なシステムの管理が難しくなったことが原因のひとつとして存在すると考えられ、コロナ禍ではより一層、企業・個人ともにセキュリティのリテラシーが求められる。

ところで、セキュリティリテラシーというと前述のようなコンピューターウイルスやフィッシングサイトへの対策を思い浮かべる方も多いかもしれない。しかし、昨今注目されているのがウェブエンジニアのような開発者に求められるセキュリティリテラシーだ。

ウォーターフォールの開発体制においては開発完了後に第三者機関による脆弱性診断を行い、その結果に基づき脆弱性の修正を行うというサイクルが成立していた。もちろん、設計レベルでの脆弱性が存在した場合は多大な手戻りが発生してしまうので、成立とはいえないこともある。

しかし、この「事後に大規模な脆弱性診断を行う」という形式が、細分化されたリリースを繰り返すアジャイル開発の体制にはフィットしないことは明らかである。

すなわち、現代においては設計・コーディングの段階で脆弱性を生まないようにすることの重要性が増してきているといえる。開発工程のより上流でセキュリティを担保しようとする「シフトレフト」(Shift Left)のひとつの形だろう。これを実現するためにはもちろん自動検査ツールの導入といった選択肢もあるが、現場で動く開発者、つまり「人」も重要なファクターになってくる。

そこで今注目されているのが、開発者のセキュリティリテラシーの底上げを図る高度な教育サービス。時代背景にも合わせて特にeラーニングのサービスが脚光を浴びている。セキュリティの中の教育というニッチな領域になるが、今回は複数のサービスを取り上げてみる。

Udemy ― 初級から上級まで181のセキュリティコースを用意

Udemy ― 初級から上級まで181のセキュリティコースを用意

ベネッセコーポレーションが約56億円を出資して米ベンチャー企業が展開するオンライン動画学習サービス「Udemy」では、サイバーセキュリティコースを座学や演習などさまざまな形態で受講することができる。

2020年11月現在181ものコースが用意されており、レベルは社会人として必要なセキュリティリテラシーを学べる初級編からサイバー攻撃の手法を学べる上級編まで幅広くカバー。価格は無料のコースから2万円前後のものまで。ほぼすべてのコースに学習期間の制限がないだけでなく、30日間の返金保障がついている。

Flatt Security ― 東京大学発ウェブエンジニア向けSaaS型eラーニングサービス

Flatt Security ― 東京大学発ウェブエンジニア向けSaaS型eラーニングサービス

サイバーセキュリティ事業を展開するFlatt Securityは11月4日、ウェブエンジニアのセキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」β版の提供を開始した。

資料に目を通して三択問題のテストを受ける、というような受動的なeラーニングとは異なり、攻撃者が用いる攻撃手法を体験したり実際に脆弱なコードを修正したりなど、演習形式を軸としてより実践的なトレーニングを一元的に受講できる。

同サービスは法人向けに展開しており、サイバーエージェントやXTechなどがβ版以前のトライアル版を利用している。価格は1名あたり数万円から。

SANS ― 大学の助教授やCISO(最高情報セキュリティ責任者)が講師に参画

SANS ― 大学の助教授やCISO(最高情報セキュリティ責任者)が講師に参画

情報セキュリティ分野に特化した教育専門機関SANSは、情報セキュリティの分野において必要な知識やスキルを有していることを証明する認定試験GIACとその学習カリキュラムを運営。GIACは米国政府・企業を中心に、個人のスキルレベルを客観的に計測する基準として高く評価されている。

特徴は優秀な講師陣。大学の助教授や企業のCISO(最高情報セキュリティ責任者)など最先端の技術・知識を有するセキュリティのプロフェッショナルがレクチャーしている。また、教材は年4回程の改訂を行っており、最新トピックが反映されている。金額は内容によって大きく異なるが、5~6日で受講するコースを80万円前後から受けられる。

Rangeforce ― 1600万ドルを調達した、トレーニングサービスを提供する米企業

Rangeforce ― 1600万ドルを調達した、トレーニングサービスを提供する米企業

アメリカのサイバーセキュリティスタートアップRangeforceでは、サイバーセキュリティのトレーニングサービスを提供。顧客企業のセキュリティスキルを向上させ、サイバー犯罪を減らすことを目的としている。同社は2020年7月に1600万ドル(約16億6000万円)を調達しており、注目を集めている。

同サービスでは最新の脅威やシステムの脆弱性についてどのように検知、改善するかをハンズオン形式で学ぶことが可能。さらに同社は、より実践的に攻撃・防御の演習が行えるクラウド上の演習環境も提供している。同環境を用いることで、チームの対応力やスキルレベルの分析が可能だ。2020年11月時点で日本語版は提供されていない。

関連記事
飲食店の空席を有効活用、コロナ禍を乗り越えるための新たなワークスペースサービスとは?
「初めて生理が楽しみになった」女性150名の声から生まれた生理用品D2C「Nagi」
「どう生きたいか?」と徹底的に寄り添う、ポジウィルがキャリアのパーソナル・トレーニングへ舵を切った理由
女性の悩みを解決するパーソナルカラー診断やオリジナルマスクでwithコロナの新事業に挑戦するStyle Works
キャリアスクールのSHEがいまミレニアル女性に届けたいこと、コロナ禍で体験申し込みは2倍に
きっかけは原因不明の体調不良、40代女性起業家が更年期夫婦向けサービスに込める想い
オンラインヨガ、セルフヘアカラー、荷物管理、リモートワークを快適に過ごすサービスの需要増
三密によるクラスターを回避、withコロナ時代のコールセンターとは
安定志向だった私が共同創業者に、ヘルスケア×フードテックの可能性
11年の受付業務経験を経て開発、2500社が導入する無人受付システム「RECEPTIONIST」

カテゴリー: セキュリティ
タグ: エンジニア(用語)データ漏洩(用語)ハッカー / ハッキング(用語)

複数の自治体が「Peatix」不正アクセス・個人情報漏洩についてお詫びとお知らせを掲載

複数の自治体が「Peatix」不正アクセス・個人情報漏洩についてお詫びとお知らせを掲載

Peatix(ピーティックス)の不正アクセス・個人情報漏洩発表を受け、鹿児島県、埼玉県、栃木県宇都宮市、福井県福井市、宮崎県宮崎市といった複数自治体が11月17日・18日にお詫びとお知らせを掲載した。

  • 鹿児島県:「ディスカバー鹿児島キャンペーン」県民向け宿泊助成第1弾、第2弾に申し込んだ者。引き出された可能性のある情報の件数は現在調査中
  • 埼玉県:「埼玉150周年1年前イベント」に申し込んだ5083名
  • 栃木県宇都宮市:「宮の食べトクチケット」のオンライン販売における購入者
  • 福井県福井市:「ふくい魅える化プロジェクト」関連各事業(XSEMI、XSCHOOLなど)の参加者のべ753名
  • 宮崎県宮崎市:プレミアム付商品券予約事業の予約者

Peatixでは、専用カスタマーサポートセンターを開設(「弊社が運営するPeatix(https://peatix.com/)への不正アクセス事象に関するお詫びとお知らせ」参照)。Peatix利用者に対し、同社から個別にメールで案内予定としているが、各自治体とも詳細を確認する場合には専用カスタマーサポートセンターに問い合わせるよう呼びかけている。

Peatixは11月9日、同社保有のユーザーの個人情報が引き出されている可能性を認識し、外部調査会社による調査を実施。その結果、10月16日から10月17日にかけて発生した不正アクセスにより、「氏名」「メールアドレス」「暗号化されたパスワード」などユーザーの個人情報が最大677万件引き出された事実が判明した。詳細は調査中で、新たな事実が判明次第早急に公表予定。

クレジットカード情報および金融機関口座情報などの決済関連情報、イベント参加履歴、参加者向けアンケートフォーム機能で取得したデータ、住所、電話会社などの情報が引き出された事実は確認されていないとしている。

関連記事
個人情報最大677万件が漏洩、イベント管理・チケット販売の「Peatix」が不正アクセス受ける

カテゴリー: セキュリティ
タグ: Peatixデータ漏洩(用語)日本(国・地域)

個人情報最大677万件が漏洩、イベント管理・チケット販売の「Peatix」が不正アクセス受ける

個人情報最大677万件が漏洩、イベント管理・チケット販売の「Peatix」が不正アクセス受ける

Peatix(ピーティックス)は11月17日、同社運営のイベント管理・チケット販売サービス「Peatix」において、第三者による不正アクセスを受け、ユーザーの個人情報最大677万件が不正に引き出された事実が判明したと発表した。詳細は現在も調査中で、新たな事実が判明次第早急に公表するとしている。

11月9日に同社保有のユーザーの個人情報が引き出されている可能性を認識し、外部調査会社による調査を実施。その結果、10月16日から10月17日にかけて発生した不正アクセスにより、「氏名」「メールアドレス」「暗号化されたパスワード」などユーザーの個人情報が最大677万件引き出された事実が判明した。詳細は現在も調査中で、新たな事実が判明次第早急に公表するとしている。

クレジットカード情報および金融機関口座情報などの決済関連情報、イベント参加履歴、参加者向けアンケートフォーム機能で取得したデータ、住所、電話会社などの情報が引き出された事実は確認されていない。

Peatixは、今回の不正アクセスの経路を遮断しセキュリティを強化した上で、11月15日にアカウントのセキュリティの万全を期すため、すべてのパスワードの再設定が必須となる措置を行った。またPeatixで利用していたパスワードと同一のものを他社サービスでも利用している場合は、念のためパスワードを変更するよう呼びかけている。

パスワードの再設定手順は、「弊社が運営するPeatix(https://peatix.com/)への不正アクセス事象に関するお詫びとお知らせ」、または同サービス「参加者ヘルプ」内「パスワードを再設定する」ページに記載されている。

また退会希望する場合、アプリでは退会できないため、PCまたはスマートフォンのウェブブラウザーを利用し退会手続きを行うよう案内。「参加者アカウントを退会する」で手順を確認できる。

Peatixサイトにログイン後、画面右上の「アカウント設定」(PC)、または「マイアカウント」(スマートフォン)を開き、アカウント設定画面の最下部にある「退会する」をクリックすると、退会可能。

関連記事
「バイオハザード」のカプコンがランサムウェア感染し、データ漏洩
人気スマホゲーム「アニマルジャム」でデータ流出、いますぐ親がすべきこととは
Zoomがセキュリティを巡る「虚偽」主張問題で連邦取引委員会と和解
ブリティッシュ・エアウェイズの個人情報漏洩に対する制裁金が252億円から27億円に減額、新型コロナの影響で
Twitterが開発者の秘密鍵やアカウントトークンの漏洩を警告
Shopifyが従業員によるデータの漏洩を発表
Twitterがビジネスユーザーの個人データ漏洩を発表
イベント管理ツールの「Peatix」、JTBと資本業務提携で地域活性化めざす
イベント管理・チケット販売のPeatix、ユーザー数210万人超・流通総額110億円に成長
イベントチケットプラットフォームのPeaTixが東京からシリコンバレーに拠点を移転。500 Startupsらから出資も

カテゴリー: セキュリティ
タグ: Peatixデータ漏洩(用語)日本(国・地域)

「バイオハザード」のCapcomがランサムウェア感染し、データ漏洩

「バイオハザード」や「ストリートファイター」などのゲームタイトルを展開するCapcom(カプコン)は、2020年11月初めに発生したランサムウェア攻撃により、ハッカーが社内ネットワークから顧客データやファイルを盗み出したことを確認したと発表した。

サイバー攻撃の直後の数日間、カプコンは顧客データにアクセスされたという証拠はない(カプコンリリース)と述べていたが、一転して顧客データが盗まれたことを確認したという。

カプコンは声明の中で、氏名、住所、電話番号、場合によっては生年月日など、35万人もの顧客データが盗まれた可能性があると述べている。同社によると、ハッカーは氏名、住所、生年月日、写真などを含む社内の財務データや、現在および過去の従業員の人事ファイルも盗み出したという。またビジネスパートナーや販売、開発に関する文書を含む「企業の機密情報」も盗まれたとのこと。

カプコンによると、決済は外部の会社が行っているため、クレジットカード情報は盗まれていないという。

なおカプコンは、今回のサイバー攻撃で内部ログが失われたことで、盗まれたデータの容量は「具体的に確認できない」と表明している。

カプコンは今回の被害について謝罪している。声明文には、「お客様はじめ多くのご関係先にご迷惑とご心配をおかけしておりますことを、深くお詫び申しあげます」と記載されている。

同社は米国時間11月2日にランサムウェア 「Ragnar Locker」 の攻撃を受け、ネットワークを遮断した。Ragnar Lockerはデータを盗むランサムウェアで、ネットワークを暗号化する前に被害者からデータを抜き取り、身代金が支払われない限り盗まれたファイルを公開すると脅す。そうすることで、たとえ被害者がファイルやシステムをバックアップから復元したとしても、ランサムウェアグループは企業に身代金の支払いを要求することができる。

Ragnar Lockerのウェブサイトにはカプコンから盗まれたとされるデータが掲載されており、同社が身代金を支払わなかったことを示唆するメッセージが表示されている。

カプコンは欧州のGDPRデータ侵害通知規則に基づき、日本とイギリスのデータ保護規制当局に通知したという。GDPRの規則に違反した場合、企業は年間売上の4%までの罰金を科せられる可能性がある。

カテゴリー:ゲーム / eSports
タグ:カプコンランサムウェアデータ漏洩
画像クレジット:Chesnot / Getty Images

原文へ

(翻訳:塚本直樹 / Twitter

人気スマホゲーム「アニマルジャム」でデータ流出、いますぐ親がすべきこととは

人気の子供向けゲーム、Animal Jam(アニマルジャム)のメーカーであるWildWorks(ワイルドワークス)がデータ流出を認めた。

Animal Jamは子供たちの間で最も人気のあるゲームの1つで、米国のApple(アップル) App Storeの9~11歳部門ゲームのトップ5に入っている(App Annie調べ)。しかし、データ漏洩が良いニュースであったことはないが、WildWorksはほとんどの企業よりも取り組みが積極的であり、親が自分や子供たちのデータを守るための情報を提供している。

TechCrunchが把握している状況は以下の通りだ。

WildWorksは 詳細な声明で、ハッカーはAnimal Jamのレコード4600万件を10月始めに盗んだが、会社が漏洩に気づいたのは11月になってからだったことを公表した。

同社によると、社内で従業員同士がやりとりするために使用していたシステムに何者かが侵入し、同社のユーザーデータベースにアクセスするための秘密鍵を盗んだ。悪いことに、盗まれたデータは少なくとも1つのサイバー犯罪フォーラムに出回ったことがわかっている、とWildWorkは語っている。これは悪意のあるハッカーが盗まれた情報を利用する(利用している)可能性があることを意味している。

盗まれたデータは過去10年以上にわたるため、昔のユーザーも影響を受ける可能性があると同社はいう。

盗まれたデータの大部分は機密性の高いものではないが、盗難にあったデータレコードのうち、3200万件にプレーヤーのユーザー名が、2390万件にプレーヤーの性別が、1480万件にプレーヤーの誕生年が、そして570万件にプレーヤーの生年月日が入っていた、と同社は警告している。

WildWorkはさらに、ハッカーは子供のアカウントを管理するために使われていた親のメールアドレス700万件を持ち出したことも認めた。1万2653件の親アカウントに親のフルネームと請求先住所が、1万6131件の親アカウントには親の名前はあるが請求先住所はなかったといっている。

請求先住所以外の請求データ、例えばクレジットカード情報などは盗まれていない、と同社は述べている。

WildWorksは、ハッカーがプレーヤーのパスワードを盗んだため、全プレーヤーのパスワードをリセットしたことも発表した(ログインできない人はおそらくそれが理由だ。メールをチェックしてパスワードをリセットするリンクを探して欲しい)。WildWorksはパスワードをどのように暗号化していたかを明らかにしていないため、パスワードが暗号化されておらずAnimal Jamと同じパスワードを使って別のアカウントに侵入された可能性がある。サイトやサービス毎に別のパスワードを使い、パスワードマネジャーで安全に管理することが極めて重要なのはこれが理由だ。

WildWorksはシステム侵入に関する情報をFBI(連邦捜査局)およびその他の警察機関と共有していると語っている。

では、親たちには何ができるのだろうか?

  • 幸い子供のアカウントに関連付けられているデータは多くない。しかし親は、もしAnimal Jamのパスワードを別のウェブサイトでも使っているなら、今すぐパスワードを強力で他で使っていないものに変更し、別のアカウントに侵入されないようにするべきだ。
  • データ流出に関連した詐欺に注意すること。悪意あるハッカーは最新のニュースや出来事に飛びつき、事件に乗じて被害者をだましさらに情報やお金を盗もうとしている。

関連記事
サイバーセキュリティ強化のためにチェックすべきトップ5
インターネット界で最も頼りになる流出データの管理人「Have I Been Pwned」が生まれたわけ

カテゴリー:セキュリティ
タグ:Animal JamWildWorksデータ漏洩

原文へ

(翻訳:Nob Takahashi / facebook

Facebookアカウントでログインした5000本のアプリで利用停止後も個人情報が開発者に流れていた

Facebook(フェイスブック)は、およそ5000本のアプリにおいて、すでに利用を止めているにもかかわらず、開発者がユーザーの個人情報にアクセスできる状態になっていたと話した。米国時間7月1日、使わなくなって90日が経過したアプリから、本来ならユーザーがアプリの使用を再開しアクセスを再び許可するまでアクセスできないはずのユーザー情報に、その期間を超えてもアプリ開発者がアクセスできてしまうという問題を最近になって発見したと説明(Facebookリリース)した。

2018年、8700万人のFacebookユーザーの個人情報が不正に渡っていたCambridge Analytica(ケンブリッジ・アナリティカ)事件の煽りを受け、Facebookは、アプリ開発者がユーザーの個人情報へアクセスする際の決まりを変更すると発表(未訳記事)した。そのとき数多くの規制がFacebookのAPIプラットフォームに加えられたが、その中に「Facebookでログイン」の使用における審査プロセスを厳格化するものがあった。アプリが3カ月間使用されなかったとき、アプリからのユーザーの個人情報へのアクセスをブロックするというものだ。

今回のデータ共有問題に関しては、その規制がしっかり実行されていなかったということになる。

「Facebookでログイン」は、Facebookのサインイン認証をバックグラウンドで利用することで、ユーザーが簡単にアプリにサインインできる手段をアプリ開発者に提供するものだ。だがこれは同時に、対象ユーザーの電子メール、好み、性別、位置、誕生日、年齢層などFacebook上の個人情報サブセットへのアクセス要求を開発者に許すものでもあった。5000本のアプリから、ユーザーの個人情報を詳細に特定するアクセスがどれほどあったかは不明だ。Facebookによれば「あるアプリは言語や性別にアクセスしていた」と話しているが、「Facebookでログイン」で要求できるユーザー情報は、その2つの属性に限定されているわけではない。

Facebookの発表によれば、この問題は「Facebookでログイン」を使っているすべてのアプリに影響するものではなく、一部の状況でのみ発生(Facebookレポート)していたという。例えば「フィットネスアプリのユーザーが、そのアプリを使って友人を運動に誘ったとき、誘われた友人がアプリを何カ月も使っていなかったこと、つまり利用を止めてから90日以上経過していることを、Facebookは認識できなかった」と同社は話している。

この5000本のアプリは、過去数カ月ぶんのデータを精査した結果判明した。どれだけのユーザーが関わっているかFacebookは示していない。正確を期するなら、関係するユーザーは、そのアプリを使い始めるときにアクセスを許可した人たちなのだが、その許可は期限切れになっていた。

この新たに発見された問題は、アプリのユーザーが、アプリのアクセス許可を不正利用したことで、その「友達」ネットワークのすべてのユーザー情報へのアクセス権を提供してしまったCambridge Analytica事件のものとは違う。しかしこれは、Facebookの「友達」ネットワークを通じて、ユーザーの個人的なつながりから個人情報が漏れてしまう新たな実例となってしまった。この場合、ユーザーの個人情報は、意図せず開発者に共有されたわけだが、その原因には、ユーザーと、そのアプリの利用者で、それを試すよう招待した「友達」とのつながりもある。

Facebookでは、この問題はすでに修正され、現在も調査を続けている話している。

これに関連して同社は、データマイニングを、法的に言えば、開発者の手に委ねるための新しいプラットフォームポリシー開発者向けポリシー導入した。それにより、ユーザーの明示的な同意なくして開発者が第三者に個人情報を提供できる権利の制限、データのセキュリティー要件の厳格化、個人情報を削除すべき場合の明確化がなされた。

この規約によって開発者は「合法的な業務上の目的に必要とされなくなったとき、具体的には、アプリが閉じられたとき、Facebookから指示されたとき、または誤って個人情報を取得したときに、Facebookは個人情報の削除を要求できるようになった」と発表には明記されている。

この最後の2つの条項は興味深い。将来的にFacebookは、今回のようなデータアクセス問題を察知した場合に開発者に連絡をとり、開発者がユーザーの個人情報を誤って取得していると通報できることを意味するからだ。またFacebookの規約では、規約に従ってサードパーティーのシステムにリモート、あるいは物理的なアクセスを要求し、アプリがFacebookのポリシーに準拠しているかを確認するための監査ができるようになっている。ポリシーに反するデータがある場合は、新規約に則り、その削除を開発者に要請できる。

今後新たな問題が発生したとき、今回ブログ記事で公表したように、どこまで世界に告知されるかは、Facebook次第だ。

開発者向けのポリシーは、今回改定が加えられたうちの一部に過ぎない。Facebook SDK、Facebookでログイン、およびソーシャルプラグインの一部の利用に関連する個人情報の取り扱いをここでも厳格化するため、Facebookは、ビジネスツール利用規約を含む商用利用規約も改定した。商用利用規約の変更は「内容をより明確にするためでもある」と同社は話している。

こうした総合的な規約の改定で、Facebookはどの抜け穴を繕うのか、そしてそれが今後データアクセス問題が発生したときに、ユーザーの個人情報と透明性にどう影響するのかが完全に分析されるには、時間がかかる。

新しいポリシーと規約は、2020年8月31日に発効されるとのことだ。開発者は、この更新の同意に関して、特に何かをする必要はない。

関連記事:Twitterがビジネスユーザーの個人データ漏洩を発表

カテゴリー:セキュリティ

タグ:Facebook データ漏洩

画像クレジット:Justin Sullivan / Getty Images

[原文へ]

(翻訳:金井哲夫)

データ漏洩通知は行間を読め、本当の意味を解読する方法

私は長年に渡り何百、いや何千というデータ漏洩通知を見てきた。データ漏洩通知とは、ある企業のデータが紛失や盗難に遭った場合や、データが誰にでもアクセスできる状態でオンライン上に置かれていたことがわかった場合にそれを警告するものである。

データ漏洩通知の文面はどれもおおよそ似通ったものだ。私の役目は、個人情報がリスクに晒されている被害者のために、通知書が実際に伝えている真の内容を読み解くことである。

データ漏洩通知は、いつなにが起きたのか、それによってデータ漏洩を受けた人々にどのような影響が予測されるかを伝えるのが本来の役割だ。今年に入ってから皆さんは既に 2、3 の通知をご覧になったのではないだろうか。というのも、ほとんどの米国の州には、データ漏洩などのセキュリティーインシデントが発生した場合、企業はそれをできるだけ速やかに公表しなければならないという法律があるからだ。欧州の規則はより厳格で、侵害が開示されなかった場合には罰金が課せられるのが普通である。

しかし、データ漏洩通知は危機コミュニケーションにおいて、あまりにあたりさわりのないものになってきている。企業は非難をそらし、重要な詳細を難解にし、また重要な事実を省略する形で通知書を作成している。結局企業の最大の関心事は株式市場を良好に保ち、投資家を満足させ、取締当局に目を付けられないことにある。これらの逆を行くようなことを企業が言いたがるだろうか?

次回データ漏洩通知を受け取ったら、行間を読むようにしていただきたい。回避すべきくだらない文章を把握することによって、本当に問わねばならない事柄はなにかを理解することができる。

「当社はセキュリティおよびプライバシーを重視しています」

本当の意味: 「当社では、はっきり言うとセキュリティーやプライバシーを重視していません」

これはデータ漏洩通知に頻繁に出てくる文言である。この記事に先立ち、昨年TechCrunchはセキュリティーおよびプライバシーを「重視」している企業についての記事を掲載した。当誌は、2019 年にカリフォルニア州司法長官に提出された全通知のうち約3分の1にこの文言と似たりよったりの文章が使用されていることを突き止めた。現実には、ほとんどの企業は個人情報のプライバシーやセキュリティーに大きな関心を払ってはいない。彼らが気にするのはデータが盗まれたという事実を顧客に説明しなければならないということである。これは空虚で使い古された意味のない文章である。

「当社は最近セキュリティインシデントが発生したことを突き止めました…」

本当の意味: 「セキュリティインシデントの発生を突き止めたのは他の誰かです。しかし当社は被害の抑制に努めているところです」

これは無害に聞こえるが、正しく捉える必要のある重要な発言だ。企業がセキュリティインシデントを「最近突き止めました」と述べた場合は、そのインシデントを実際に報告したのは誰かを質すべきである。企業の顧客データベースが含まれたファイルをハッカーが漏えいしたといった事態が発生すると、コメントを求められるのは多くの場合、私のような記者である。慌てた企業は、そのインシデントを突き止めたのは自分たちだというように装おうとする。そのほうが世間に聞こえがいいからだ。

「権限を持たない何者かが…」

本当の意味: 「誰のせいかはわかりません。しかし当社を非難するのはやめてください」

これはデータ漏洩通知の中で最も論争の的となる部分の 1 つであり、つまるところ、誰がセキュリティーインシデントの責任を追うべきなのか、という簡単な問いにたどり着く。法的に言って「不正アクセス」とは、多くの場合何者かが他人のパスワードを用いて、あるいはログイン画面を迂回してシステムに違法に侵入することを指す。しかし企業はしばしばこれを誤解し、あるいはそのインシデントが悪意のあるものかどうかを区別できない、または区別するのを望まないことがある。システムがパスワードによる保護なしにオンラインにさらされたり、放置されていた場合、責められるべきはセキュリティ管理が不十分な企業である。セキュリティーリサーチャーが保護の十分でないシステムを発見し、善意で報告した場合は、彼らを悪意のある人物として描く必要はないのである。企業は責任転換をしたがるものだ。こちらとしては先入観を持たないようにしなければならない。

「当社は直ちに対策を講じました…」

本当の意味: 「当社は直ちに対策を…どのような対策を取ったらいいか分かり次第対策を講じました」

ハッカーは必ずしも捕まるとは限らない。多くの場合、ほとんどのハッカーは企業が侵害に気付くずっと前にその場を立ち去っているものだ。企業が直ちに対策を講じたと言っても、侵害の端緒から企業が対策を講じたとは考えないことだ。Equifax(エクイファックス)は、ハッカーにより1億5000万人近くの消費者のクレジット記録を盗まれたインシデントで、侵入を阻止するために「直ちに対策を講じた」と発表した。しかし、エクイファックスがその疑わしい活動を発見するまでに、ハッカーは既に2か月間もそのシステム内で活動していた。本当に重要なのは、そのセキュリティインシデントが発生したのはいつか、企業がそれを発見したのはいつか、そして企業がその侵害を管轄当局に届けたのはいつか、なのである。

「当社の犯罪調査で明らかになったのは…」

本当の意味: 「当社は、当社がどれだけヤバい状況なのかを教えてくれるようある人物に依頼しました」

インシデントレスポンダーは侵入またはデータ漏洩がどのように起こったかを解明し、企業がサイバー保険から保険金を受け取り、同様の手口による侵害の再発防止をサポートする。しかし、一部の企業は「犯罪調査」という用語を大まかに用いている。内部調査には透明性や説明責任が伴わず、その結果が精査されたり、公表されることはめったにない。インシデントレスポンダーは、調査結果が公表されない場合であっても、企業が聞きたいと思っていることではなく、企業が聞く必要のあることを企業に伝える役目を持った独立した有資格の評価者である。

「念のため、当社よりインシデントの発生を報告いたします」

本当の意味: 「当社はインシデントの発生を報告するよう強制されました」

一瞬でも、その企業がセキュリティーインシデントを開示したからといって「正しい行い」をしていると考えてはいけない。欧米では、企業には選択権が与えられていない。ほとんどの州には、一定以上の住民に影響を及ぼすインシデントについて企業がこれを開示しなければならないとするなんらかのデータ漏洩通知法があり、侵害を開示しない場合巨額の罰金が課せられる可能性がある。(TechCrunchと同様、Verizonが所有する)Yahooの例を挙げると、同社は、5億のユーザーアカウントが漏洩したデータ漏洩の1つを開示しなかったため、2018年に米国連邦規制当局により3500 万ドル(約37億7000万円)の罰金を科された

「巧妙なサイバーアタック…」

本当の意味:「当社は実際ほど間抜けに見えないよう取り繕っています」

企業が「巧妙な」サイバーアタックの被害に遭ったと言ったからといって、必ずしもそれが本当だったとは限らない。これは誇張であり、セキュリティインシデントを過小に扱って「隠蔽工作」するための発言である。この文言が実際に語っているのは、どのように攻撃が起こったのかその企業には見当がついていないということである。結局のところ、歴史上最大の侵害の一部は、パッチ未適用のシステム、脆弱なパスワード、または誰かが悪意のある電子メールをクリックしたことが原因で発生した。

「データが盗難に遭ったことを示す証拠はありません」

本当の意味: 「当社の知る範囲では」

「証拠はない」という文言は、何事も起こらなかったということを意味するのではなく、なにかが起こっていてもそれがまだ分かっていないということである。その企業は盗難被害について十分厳密に調査をしていないか、把握していないのである。企業がデータの盗難に遭ったことを示す「証拠はない」と言った場合でも、なぜそのような結論に至ったのかを問いただす価値はある。

「影響を受けるのはごく一部のお客様です」

本当の意味: 「『何百万ものユーザー』と言ってしまうと大変聞こえが悪い」

次回データ漏洩通知に、「侵害により影響を受けるのは『ごく一部の』お客様です」と書かれていたら、これが実際何を意味するのかちょっと考えて欲しい。Houzz(ハウズ)は 2019年1月にデータ漏洩に遭ったことを認めたが、その際同社は「当社のユーザーデータの一部」が流失したと述べた。数か月後、ハッカーが5700万ものHouzz(ハウズ)ユーザー記録を投稿した。CBSが所有するLast.fm(ラストエフエム)も2012年に侵害によりパスワードの「一部」が盗まれたと発表したが、後にその数は4300万と判明した。企業が影響を受ける人数を言わないのは、実際に知らないか、知られたくないからなのである。

関連記事:マリオットホテルが再度のデータ漏洩で520万人分の顧客記録を流出

Category:セキュリティ

Tag:データ漏洩 ハッカー

[原文へ]

(翻訳:Dragonfly)