パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

BaiduのAndroid用SDK「Moplus」にバックドア」記事へのコメント

  • by Anonymous Coward

    F-Secureの、このタレコミから掲載までの反応速度の違い
    何に起因するんでしょう?

    • by Anonymous Coward on 2015年11月09日 16時57分 (#2914450)

      F-Secureの件がまとまってるサイト知りませんか?
      どうも纏まりに欠けるというか、確認された事実なのかどうか分からない内容が羅列されている印象で理解しにくい。
      それなりに大きなセキュリティインシデントなんじゃないかと危惧してるんですが。

      親コメント
      • by ma_kon2 (9679) on 2015年11月10日 11時26分 (#2914850) 日記
        住所さらして凸してやる!みたいにいってたら,住所さらされて凸された,というだけのお話。
        そもそもが,フェイスブックにアップされてた風刺画を自ら拡散,
        そしたら「いいね!」を大量に押されて,
        むかついたので,ソーシャルハッキングで個人情報集めて公開,
        反撃くらって自らの個人情報も拡散されて,挙げ句の果てに自宅に凸された,と。
        震えて砂かんでろといったら,自分が震えて砂かむハメになったり,
        個人情報は自衛しないと~とか本職の方で言ってたら,自分がザルだったりと,
        ツッコミどころが満載というか。

        お仲間のツイートですと,会社にはまだシンパがいるように臭わせてますが,ブラフかどうかはわかりません。
        公開された住所録自体は,やろうと思えば誰でも出来るソーシャルハッキングであって,
        会社のシステムとは関係なさそうですし, ともかく,残ったのは「ぱよちん」という名言のみで,
        ITネタとしては非常にくだらないので,興味がなければ気にしなくても良いレベルですよ。
        何つーか左右のイデオロギー関係なしに馬鹿らしい。バイトテロと同レベルですよ。
        本物の工作員だったら,床に穴が空いて全自動で粛正されるレベル。
        親コメント
        • by Anonymous Coward

          >ソーシャルハッキングで個人情報集めて公開
          はすみリストのことですよね。
          これが本人が一人の力で行ったことなら問題ないんですが、勤め先が勤め先ですからねぇ。
          出所が勤め先のデータベースだったりすると一大事なわけで。会社は否定してますけど。

          • by ma_kon2 (9679) on 2015年11月10日 12時44分 (#2914904) 日記
            コツさえレクチャーすれば,手分けすればあっという間でしょう。
            それこそご本人の身元が割れたみたいに。
            翻訳サービスとかみたく,人海戦略のスピードは馬鹿にならないと思います。
            デモに動員かけるよりは手軽ですし。

            でもまあ,ITネタじゃないよね。
            いつ身バレするか分からないからこそ,邪悪になるなかれ,という教訓は残りましたが。
            親コメント
            • by Anonymous Coward

              うーん、あなたが実際にはすみリストと同じものを自力で用意できたら、手間はかからない点については信じましょう。
              ただ、手間はかからないが人力で用意したことの証明にはならないのでその点はご容赦を。

        • by Anonymous Coward

          > 本物の工作員だったら
           
          アマチュア無線500W免許で、自宅にタワーアンテナあるって話を聞きました。
          随分気合が入った方ですね。

        • by Anonymous Coward

          他人の個人情報を晒す辺りはアレゲだがそれ以外の本人要素はいつもの炎上案件だろう。
          主犯の馬鹿についてはまぁ好きに炎上しててくださいって感じ。問題(アレゲ)なのはエフセキュアの方。

          エフセキュア側がぬるーい処分で終わらせててセキュリティで食ってる企業としての信用がだだ下がってるって辺りがアレゲな問題。
          こういう胡散臭い連中を雇うなよとか、社内の教育でもうちょい釘刺しとけよとか、
          いざ問題が起こった後で危機感ゼロとかセキュリティ屋として駄目だろうとか、そのあたりが突っ込みどころかな。

          セキュリティで食ってる企業がお粗末な話題はここに限った話ではないんだけど。代表的なのはシマンテック。

      • by Anonymous Coward

        ×F-secure(フィンランドのセキュリティ会社)
        ○エフセキュア(F-secureの日本法人、要は営業窓口)

        加えて被疑者は営業担当。
        facebookから情報を収集し一覧にして公開したとかで、情報漏洩ではない。
        セキュリティは全く関係ない。

        http://www.itmedia.co.jp/news/articles/1511/05/news070.html [itmedia.co.jp]

        顛末を記した記事は↑とか。
        多分理解し難いのは、重大な出来事だと決めてかかって読んでるからだと思うよ。

        • by Anonymous Coward on 2015年11月09日 17時31分 (#2914488)
          ・セキュリティ企業に勤務する人間が、意図的にプライバシー侵害を行った
          ・その人物はかつて別件で、「セキュリティ業界の総力を挙げて相手の身元を暴く」旨のツイートをした

          「セキュリティは全く関係ない」んですか?
          親コメント
          • by Anonymous Coward

            プライバシー侵害はセキュリティの範疇だと思うけど、
            利用規約違反ということで、システム的に防げる種類の侵害ではないからねえ…

          • by Anonymous Coward

            だからエフセキュアは営業を行う会社で、ソイツは営業担当なんだってば。
            セキュリティ会社のセキュリティ担当ならいざ知らず。

            そこら辺の大工が「セキュリティ業界の総力を挙げて相手の身元を暴く」とか
            ツイートしたら、セキュリティ関係ある、って話になるの?

            • by ma_kon2 (9679) on 2015年11月10日 11時29分 (#2914852) 日記
              営業担当だろうと,そういうやつがいる,というだけで
              疑われて,所属企業や,業界団体に影響が出るのは仕方ないところ。
              バイトテロ程度の事案だとしても。
              親コメント
            • by Anonymous Coward

              広報担当ですよ、念のため。

            • by Anonymous Coward

              エフセキュアの内部でデータベースアクセス権限が適切に管理運用されていたという証拠は何も無いので、営業担当だったからというのは何の傍証にもならんのです。
              常識的には営業がデータベースにアクセスできる必要はないし、そうなっているだろうとは思いますが、常識と思い込みは仲がいいのであえて常識に捉われないよう注意が必要なのです。

            • by Anonymous Coward

              トヨタの営業が自社の車に欠陥が出ても俺は知らないって言えないですよね。
              なんでそんな関係ないことにしたいのですかねぇ

            • by Anonymous Coward

              火消しに必死だなw

              >だからエフセキュアは営業を行う会社で
              http://www2.f-secure.co.jp/corporation/menu.html [f-secure.co.jp]
              コンポーネントの一部は日本で開発している。

              > ソイツは営業担当なんだってば。
              ソイツは採用や顧客選定にも噛んでいるし、政治的信条に基づいて仕事している旨を自ら豪語している。
              つまり同じ信条を持つ同僚や部下が一杯いるってことだな

        • by Anonymous Coward on 2015年11月09日 17時41分 (#2914495)

          それ以前の発言で「共産党に投票した人が多い会社に優先的に発注した」とかツイートしてたのも掘り出されてるから、会社が無関係とは思えない。
          少なくとも自分の思想信条を会社としての利益より優先してたことは確かなわけで、業務規定に則って仕事してた健全な社員というわけじゃないことは確か。

          で、そんな社員が「不正にアクセスしてたか」をたかだか1日や2日で検証した(ことにした?)だけで「不正アクセスはありませんでした」なんてプレスリリース打って片付けるような会社じゃ信用ならんと思うがねぇ。
          少なくともエフセキュアの事業や活動にまったく影響がなかったとは到底言えんのだし。

          # んでエフセキュアの代表が韓国のセキュリティ系シンクタンクの代表もやってるわけで、状況証拠で見ればかなり怪しい

          親コメント
          • by Anonymous Coward

            DBへのアクセスを1日や2日で検証できないようであれば、セキュリティ会社として失格だと思いますよ。
            そもそも犯人が社内のDBへのアクセス権を持ってるかも怪しいって話ですし。

            • by Anonymous Coward

              他のユーザーの権限を不正に使用した可能性とか調査しなくていいなら不正アクセスの調査って凄く楽だね!

              そんな調査を1日2日で終わらせちゃう程度のセキュリティ会社のほうが余程、失格だよ。

              • by Anonymous Coward

                ところがDBの物理的なセキュリティなんかで分かるような会社もあるしなぁ
                セキュリティ会社ではなくメーカーだが、外部から隔離された環境で、
                アクセスしてる人全てをカメラで撮影しているような会社もあるし

              • by Anonymous Coward

                > アクセスしてる人全てをカメラで撮影しているような会社もあるし
                それはよくある話だけど、撮影したビデオを検証するのにも時間はかかるべ
                数日どころか数週間かかっておかしくないぐらいだろうむしろ

              • by Anonymous Coward

                会社からTweetしまくってたみたいだから、そんな環境じゃなさそうですね。

              • by Anonymous Coward

                セキュリティインシデントなのに、なぜそんな「多分大丈夫だろう」的な視点なのですか?
                普通逆だと思うんですが。

          • by Anonymous Coward

            公的関係からは全面お断りが出そうな雰囲気になってきましたね
            民間企業も避けるでしょうから日本法人は完全撤退の可能性も割と見えてきた気が…

        • by nemui4 (20313) on 2015年11月10日 8時36分 (#2914777) 日記

          >セキュリティは全く関係ない。

          すごいね。

          親コメント
        • by Anonymous Coward

          火消し業者乙です

      • by Anonymous Coward

        まだ組織の問題か個人の問題か分からんからな。
        FBの非公開データまで収集してたというのが事実かどうかという程度ならFB使う奴が馬鹿、で済むんだが、
        企業のセキュリティソリューション(何語だ)とか、マイナンバーにも噛んでるとなるとな。

        事実とデマが混ざって広がってパニックが起きかねん。
        報道も公安も何をやってるんだか。

        • by Anonymous Coward

          ブサヨに関するものは報道しない自由って恐ろしいな

        • by Anonymous Coward

          「セキュリティ屋の社員がセキュリティに係る問題を起こしたにも関わらず処分もせずと気休めのプレスリリースで終わらせようとした」
          ってのは組織の問題を匂わせるには十分な要素だと思うけどなぁ…
          セキュリティ屋としちゃ他人に突っ込まれるよりも先に徹底的に調べて自分でも処分を下すくらいじゃないと困る。

          そういう技術や倫理辺りの領域での問題に加えて、政治的に胡散臭い連中とトップ連中が仲が良さ気って問題すら出てるからな。
          いくら技術や倫理が守られていても意思決定から所属個人の信条までこれじゃあどうにもならんだろう。信用出来る要素がない。

      • by Anonymous Coward

        当該ツイッターアカウントの問題は、大きく問題は2つあって、
        一つはFB上の情報を無断で集めたことでこれはプライバシー侵害だし利用規約違反。
        もう一つは、非常に不適切なツイート(ぐぐればわかるので詳しくは省略する)。

        エフセキュアのPRでは、アカウントの持ち主と「される」社員、となっていて、
        アカウントと社員を結び付けるような直接的な証拠は持っていないことをにおわせてるね。

        そのうえで、FB上の情報はエフセキュアは持っていないことと、
        その他の情報漏えいはないという結論を発表した。

        これはこれでいいとして、問題は不適切なツイート。
        これについて何も触れていない。
        セキュリティインシデントというより、ガバナンスとかの問題じゃない?

        • by Anonymous Coward

          > その他の情報漏えいはないという結論を発表した。
          この発表がまじめに調査・処分を下していると評価できない状態だから、
          > これはこれでいいとして
          全然良くないですよ。いや、単なる個人の炎上案件ならそれでいいのだけど。

          エフセキュアというセキュリティ企業の内部でセキュリティ意識に致命的な問題が存在することが発覚した。
          事故ではなく故意によるものだから即座に済ませられる調査で結論出せる状況ではない。当人の言もあるし。

          脊髄反射的に問題ないとプレスリリース出して問題を調査しない、
          つまりセキュリティインシデント「かもしれない」状況で
          なにも調査しないって事がセキュリティインシデントだろう。

          • by Anonymous Coward

            脊髄反射的に問題ないとプレスリリース出して問題を調査しない、
            つまりセキュリティインシデント「かもしれない」状況で
            なにも調査しないって事がセキュリティインシデントだろう。

            まさにこの通りだよね。もしかしたら「個人がやらかしただけ」で済む可能性もあったのに、会社の対応が悪くて自爆した印象。
            いや、もともと会社ぐるみでやらかしてた事案なのかもしれないけどさ。

            # それにしてもここまで悪手を打てるってのも凄いな

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...