アカウント名:
パスワード:
F-Secureの、このタレコミから掲載までの反応速度の違い何に起因するんでしょう?
F-Secureの件がまとまってるサイト知りませんか?どうも纏まりに欠けるというか、確認された事実なのかどうか分からない内容が羅列されている印象で理解しにくい。それなりに大きなセキュリティインシデントなんじゃないかと危惧してるんですが。
>ソーシャルハッキングで個人情報集めて公開はすみリストのことですよね。これが本人が一人の力で行ったことなら問題ないんですが、勤め先が勤め先ですからねぇ。出所が勤め先のデータベースだったりすると一大事なわけで。会社は否定してますけど。
うーん、あなたが実際にはすみリストと同じものを自力で用意できたら、手間はかからない点については信じましょう。ただ、手間はかからないが人力で用意したことの証明にはならないのでその点はご容赦を。
> 本物の工作員だったら アマチュア無線500W免許で、自宅にタワーアンテナあるって話を聞きました。随分気合が入った方ですね。
他人の個人情報を晒す辺りはアレゲだがそれ以外の本人要素はいつもの炎上案件だろう。主犯の馬鹿についてはまぁ好きに炎上しててくださいって感じ。問題(アレゲ)なのはエフセキュアの方。
エフセキュア側がぬるーい処分で終わらせててセキュリティで食ってる企業としての信用がだだ下がってるって辺りがアレゲな問題。こういう胡散臭い連中を雇うなよとか、社内の教育でもうちょい釘刺しとけよとか、いざ問題が起こった後で危機感ゼロとかセキュリティ屋として駄目だろうとか、そのあたりが突っ込みどころかな。
セキュリティで食ってる企業がお粗末な話題はここに限った話ではないんだけど。代表的なのはシマンテック。
×F-secure(フィンランドのセキュリティ会社)○エフセキュア(F-secureの日本法人、要は営業窓口)
加えて被疑者は営業担当。facebookから情報を収集し一覧にして公開したとかで、情報漏洩ではない。セキュリティは全く関係ない。
http://www.itmedia.co.jp/news/articles/1511/05/news070.html [itmedia.co.jp]
顛末を記した記事は↑とか。多分理解し難いのは、重大な出来事だと決めてかかって読んでるからだと思うよ。
プライバシー侵害はセキュリティの範疇だと思うけど、利用規約違反ということで、システム的に防げる種類の侵害ではないからねえ…
だからエフセキュアは営業を行う会社で、ソイツは営業担当なんだってば。セキュリティ会社のセキュリティ担当ならいざ知らず。
そこら辺の大工が「セキュリティ業界の総力を挙げて相手の身元を暴く」とかツイートしたら、セキュリティ関係ある、って話になるの?
広報担当ですよ、念のため。
エフセキュアの内部でデータベースアクセス権限が適切に管理運用されていたという証拠は何も無いので、営業担当だったからというのは何の傍証にもならんのです。常識的には営業がデータベースにアクセスできる必要はないし、そうなっているだろうとは思いますが、常識と思い込みは仲がいいのであえて常識に捉われないよう注意が必要なのです。
トヨタの営業が自社の車に欠陥が出ても俺は知らないって言えないですよね。なんでそんな関係ないことにしたいのですかねぇ
火消しに必死だなw
>だからエフセキュアは営業を行う会社でhttp://www2.f-secure.co.jp/corporation/menu.html [f-secure.co.jp]コンポーネントの一部は日本で開発している。
> ソイツは営業担当なんだってば。ソイツは採用や顧客選定にも噛んでいるし、政治的信条に基づいて仕事している旨を自ら豪語している。つまり同じ信条を持つ同僚や部下が一杯いるってことだな
それ以前の発言で「共産党に投票した人が多い会社に優先的に発注した」とかツイートしてたのも掘り出されてるから、会社が無関係とは思えない。少なくとも自分の思想信条を会社としての利益より優先してたことは確かなわけで、業務規定に則って仕事してた健全な社員というわけじゃないことは確か。
で、そんな社員が「不正にアクセスしてたか」をたかだか1日や2日で検証した(ことにした?)だけで「不正アクセスはありませんでした」なんてプレスリリース打って片付けるような会社じゃ信用ならんと思うがねぇ。少なくともエフセキュアの事業や活動にまったく影響がなかったとは到底言えんのだし。
# んでエフセキュアの代表が韓国のセキュリティ系シンクタンクの代表もやってるわけで、状況証拠で見ればかなり怪しい
DBへのアクセスを1日や2日で検証できないようであれば、セキュリティ会社として失格だと思いますよ。そもそも犯人が社内のDBへのアクセス権を持ってるかも怪しいって話ですし。
他のユーザーの権限を不正に使用した可能性とか調査しなくていいなら不正アクセスの調査って凄く楽だね!
そんな調査を1日2日で終わらせちゃう程度のセキュリティ会社のほうが余程、失格だよ。
ところがDBの物理的なセキュリティなんかで分かるような会社もあるしなぁセキュリティ会社ではなくメーカーだが、外部から隔離された環境で、アクセスしてる人全てをカメラで撮影しているような会社もあるし
> アクセスしてる人全てをカメラで撮影しているような会社もあるしそれはよくある話だけど、撮影したビデオを検証するのにも時間はかかるべ数日どころか数週間かかっておかしくないぐらいだろうむしろ
会社からTweetしまくってたみたいだから、そんな環境じゃなさそうですね。
セキュリティインシデントなのに、なぜそんな「多分大丈夫だろう」的な視点なのですか?普通逆だと思うんですが。
公的関係からは全面お断りが出そうな雰囲気になってきましたね民間企業も避けるでしょうから日本法人は完全撤退の可能性も割と見えてきた気が…
>セキュリティは全く関係ない。
すごいね。
火消し業者乙です
まだ組織の問題か個人の問題か分からんからな。FBの非公開データまで収集してたというのが事実かどうかという程度ならFB使う奴が馬鹿、で済むんだが、企業のセキュリティソリューション(何語だ)とか、マイナンバーにも噛んでるとなるとな。
事実とデマが混ざって広がってパニックが起きかねん。報道も公安も何をやってるんだか。
ブサヨに関するものは報道しない自由って恐ろしいな
「セキュリティ屋の社員がセキュリティに係る問題を起こしたにも関わらず処分もせずと気休めのプレスリリースで終わらせようとした」ってのは組織の問題を匂わせるには十分な要素だと思うけどなぁ…セキュリティ屋としちゃ他人に突っ込まれるよりも先に徹底的に調べて自分でも処分を下すくらいじゃないと困る。
そういう技術や倫理辺りの領域での問題に加えて、政治的に胡散臭い連中とトップ連中が仲が良さ気って問題すら出てるからな。いくら技術や倫理が守られていても意思決定から所属個人の信条までこれじゃあどうにもならんだろう。信用出来る要素がない。
当該ツイッターアカウントの問題は、大きく問題は2つあって、一つはFB上の情報を無断で集めたことでこれはプライバシー侵害だし利用規約違反。もう一つは、非常に不適切なツイート(ぐぐればわかるので詳しくは省略する)。
エフセキュアのPRでは、アカウントの持ち主と「される」社員、となっていて、アカウントと社員を結び付けるような直接的な証拠は持っていないことをにおわせてるね。
そのうえで、FB上の情報はエフセキュアは持っていないことと、その他の情報漏えいはないという結論を発表した。
これはこれでいいとして、問題は不適切なツイート。これについて何も触れていない。セキュリティインシデントというより、ガバナンスとかの問題じゃない?
> その他の情報漏えいはないという結論を発表した。この発表がまじめに調査・処分を下していると評価できない状態だから、> これはこれでいいとして全然良くないですよ。いや、単なる個人の炎上案件ならそれでいいのだけど。
エフセキュアというセキュリティ企業の内部でセキュリティ意識に致命的な問題が存在することが発覚した。事故ではなく故意によるものだから即座に済ませられる調査で結論出せる状況ではない。当人の言もあるし。
脊髄反射的に問題ないとプレスリリース出して問題を調査しない、つまりセキュリティインシデント「かもしれない」状況でなにも調査しないって事がセキュリティインシデントだろう。
まさにこの通りだよね。もしかしたら「個人がやらかしただけ」で済む可能性もあったのに、会社の対応が悪くて自爆した印象。いや、もともと会社ぐるみでやらかしてた事案なのかもしれないけどさ。
# それにしてもここまで悪手を打てるってのも凄いな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
Baiduと (スコア:0)
F-Secureの、このタレコミから掲載までの反応速度の違い
何に起因するんでしょう?
Re:Baiduと (スコア:0)
F-Secureの件がまとまってるサイト知りませんか?
どうも纏まりに欠けるというか、確認された事実なのかどうか分からない内容が羅列されている印象で理解しにくい。
それなりに大きなセキュリティインシデントなんじゃないかと危惧してるんですが。
Re:Baiduと (スコア:2)
そもそもが,フェイスブックにアップされてた風刺画を自ら拡散,
そしたら「いいね!」を大量に押されて,
むかついたので,ソーシャルハッキングで個人情報集めて公開,
反撃くらって自らの個人情報も拡散されて,挙げ句の果てに自宅に凸された,と。
震えて砂かんでろといったら,自分が震えて砂かむハメになったり,
個人情報は自衛しないと~とか本職の方で言ってたら,自分がザルだったりと,
ツッコミどころが満載というか。
お仲間のツイートですと,会社にはまだシンパがいるように臭わせてますが,ブラフかどうかはわかりません。
公開された住所録自体は,やろうと思えば誰でも出来るソーシャルハッキングであって,
会社のシステムとは関係なさそうですし, ともかく,残ったのは「ぱよちん」という名言のみで,
ITネタとしては非常にくだらないので,興味がなければ気にしなくても良いレベルですよ。
何つーか左右のイデオロギー関係なしに馬鹿らしい。バイトテロと同レベルですよ。
本物の工作員だったら,床に穴が空いて全自動で粛正されるレベル。
Re: (スコア:0)
>ソーシャルハッキングで個人情報集めて公開
はすみリストのことですよね。
これが本人が一人の力で行ったことなら問題ないんですが、勤め先が勤め先ですからねぇ。
出所が勤め先のデータベースだったりすると一大事なわけで。会社は否定してますけど。
Re:Baiduと (スコア:2)
それこそご本人の身元が割れたみたいに。
翻訳サービスとかみたく,人海戦略のスピードは馬鹿にならないと思います。
デモに動員かけるよりは手軽ですし。
でもまあ,ITネタじゃないよね。
いつ身バレするか分からないからこそ,邪悪になるなかれ,という教訓は残りましたが。
Re: (スコア:0)
うーん、あなたが実際にはすみリストと同じものを自力で用意できたら、手間はかからない点については信じましょう。
ただ、手間はかからないが人力で用意したことの証明にはならないのでその点はご容赦を。
Re: (スコア:0)
> 本物の工作員だったら
アマチュア無線500W免許で、自宅にタワーアンテナあるって話を聞きました。
随分気合が入った方ですね。
Re: (スコア:0)
他人の個人情報を晒す辺りはアレゲだがそれ以外の本人要素はいつもの炎上案件だろう。
主犯の馬鹿についてはまぁ好きに炎上しててくださいって感じ。問題(アレゲ)なのはエフセキュアの方。
エフセキュア側がぬるーい処分で終わらせててセキュリティで食ってる企業としての信用がだだ下がってるって辺りがアレゲな問題。
こういう胡散臭い連中を雇うなよとか、社内の教育でもうちょい釘刺しとけよとか、
いざ問題が起こった後で危機感ゼロとかセキュリティ屋として駄目だろうとか、そのあたりが突っ込みどころかな。
セキュリティで食ってる企業がお粗末な話題はここに限った話ではないんだけど。代表的なのはシマンテック。
Re: (スコア:0)
×F-secure(フィンランドのセキュリティ会社)
○エフセキュア(F-secureの日本法人、要は営業窓口)
加えて被疑者は営業担当。
facebookから情報を収集し一覧にして公開したとかで、情報漏洩ではない。
セキュリティは全く関係ない。
http://www.itmedia.co.jp/news/articles/1511/05/news070.html [itmedia.co.jp]
顛末を記した記事は↑とか。
多分理解し難いのは、重大な出来事だと決めてかかって読んでるからだと思うよ。
Re:Baiduと (スコア:1)
・その人物はかつて別件で、「セキュリティ業界の総力を挙げて相手の身元を暴く」旨のツイートをした
「セキュリティは全く関係ない」んですか?
Re: (スコア:0)
プライバシー侵害はセキュリティの範疇だと思うけど、
利用規約違反ということで、システム的に防げる種類の侵害ではないからねえ…
Re: (スコア:0)
だからエフセキュアは営業を行う会社で、ソイツは営業担当なんだってば。
セキュリティ会社のセキュリティ担当ならいざ知らず。
そこら辺の大工が「セキュリティ業界の総力を挙げて相手の身元を暴く」とか
ツイートしたら、セキュリティ関係ある、って話になるの?
Re:Baiduと (スコア:2)
疑われて,所属企業や,業界団体に影響が出るのは仕方ないところ。
バイトテロ程度の事案だとしても。
Re: (スコア:0)
広報担当ですよ、念のため。
Re: (スコア:0)
エフセキュアの内部でデータベースアクセス権限が適切に管理運用されていたという証拠は何も無いので、営業担当だったからというのは何の傍証にもならんのです。
常識的には営業がデータベースにアクセスできる必要はないし、そうなっているだろうとは思いますが、常識と思い込みは仲がいいのであえて常識に捉われないよう注意が必要なのです。
Re: (スコア:0)
トヨタの営業が自社の車に欠陥が出ても俺は知らないって言えないですよね。
なんでそんな関係ないことにしたいのですかねぇ
Re: (スコア:0)
火消しに必死だなw
>だからエフセキュアは営業を行う会社で
http://www2.f-secure.co.jp/corporation/menu.html [f-secure.co.jp]
コンポーネントの一部は日本で開発している。
> ソイツは営業担当なんだってば。
ソイツは採用や顧客選定にも噛んでいるし、政治的信条に基づいて仕事している旨を自ら豪語している。
つまり同じ信条を持つ同僚や部下が一杯いるってことだな
Re:Baiduと (スコア:1)
それ以前の発言で「共産党に投票した人が多い会社に優先的に発注した」とかツイートしてたのも掘り出されてるから、会社が無関係とは思えない。
少なくとも自分の思想信条を会社としての利益より優先してたことは確かなわけで、業務規定に則って仕事してた健全な社員というわけじゃないことは確か。
で、そんな社員が「不正にアクセスしてたか」をたかだか1日や2日で検証した(ことにした?)だけで「不正アクセスはありませんでした」なんてプレスリリース打って片付けるような会社じゃ信用ならんと思うがねぇ。
少なくともエフセキュアの事業や活動にまったく影響がなかったとは到底言えんのだし。
# んでエフセキュアの代表が韓国のセキュリティ系シンクタンクの代表もやってるわけで、状況証拠で見ればかなり怪しい
Re: (スコア:0)
DBへのアクセスを1日や2日で検証できないようであれば、セキュリティ会社として失格だと思いますよ。
そもそも犯人が社内のDBへのアクセス権を持ってるかも怪しいって話ですし。
Re: (スコア:0)
他のユーザーの権限を不正に使用した可能性とか調査しなくていいなら不正アクセスの調査って凄く楽だね!
そんな調査を1日2日で終わらせちゃう程度のセキュリティ会社のほうが余程、失格だよ。
Re: (スコア:0)
ところがDBの物理的なセキュリティなんかで分かるような会社もあるしなぁ
セキュリティ会社ではなくメーカーだが、外部から隔離された環境で、
アクセスしてる人全てをカメラで撮影しているような会社もあるし
Re: (スコア:0)
> アクセスしてる人全てをカメラで撮影しているような会社もあるし
それはよくある話だけど、撮影したビデオを検証するのにも時間はかかるべ
数日どころか数週間かかっておかしくないぐらいだろうむしろ
Re: (スコア:0)
会社からTweetしまくってたみたいだから、そんな環境じゃなさそうですね。
Re: (スコア:0)
セキュリティインシデントなのに、なぜそんな「多分大丈夫だろう」的な視点なのですか?
普通逆だと思うんですが。
Re: (スコア:0)
公的関係からは全面お断りが出そうな雰囲気になってきましたね
民間企業も避けるでしょうから日本法人は完全撤退の可能性も割と見えてきた気が…
Re:Baiduと (スコア:1)
>セキュリティは全く関係ない。
すごいね。
Re: (スコア:0)
火消し業者乙です
Re: (スコア:0)
まだ組織の問題か個人の問題か分からんからな。
FBの非公開データまで収集してたというのが事実かどうかという程度ならFB使う奴が馬鹿、で済むんだが、
企業のセキュリティソリューション(何語だ)とか、マイナンバーにも噛んでるとなるとな。
事実とデマが混ざって広がってパニックが起きかねん。
報道も公安も何をやってるんだか。
Re: (スコア:0)
ブサヨに関するものは報道しない自由って恐ろしいな
Re: (スコア:0)
「セキュリティ屋の社員がセキュリティに係る問題を起こしたにも関わらず処分もせずと気休めのプレスリリースで終わらせようとした」
ってのは組織の問題を匂わせるには十分な要素だと思うけどなぁ…
セキュリティ屋としちゃ他人に突っ込まれるよりも先に徹底的に調べて自分でも処分を下すくらいじゃないと困る。
そういう技術や倫理辺りの領域での問題に加えて、政治的に胡散臭い連中とトップ連中が仲が良さ気って問題すら出てるからな。
いくら技術や倫理が守られていても意思決定から所属個人の信条までこれじゃあどうにもならんだろう。信用出来る要素がない。
Re: (スコア:0)
当該ツイッターアカウントの問題は、大きく問題は2つあって、
一つはFB上の情報を無断で集めたことでこれはプライバシー侵害だし利用規約違反。
もう一つは、非常に不適切なツイート(ぐぐればわかるので詳しくは省略する)。
エフセキュアのPRでは、アカウントの持ち主と「される」社員、となっていて、
アカウントと社員を結び付けるような直接的な証拠は持っていないことをにおわせてるね。
そのうえで、FB上の情報はエフセキュアは持っていないことと、
その他の情報漏えいはないという結論を発表した。
これはこれでいいとして、問題は不適切なツイート。
これについて何も触れていない。
セキュリティインシデントというより、ガバナンスとかの問題じゃない?
Re: (スコア:0)
> その他の情報漏えいはないという結論を発表した。
この発表がまじめに調査・処分を下していると評価できない状態だから、
> これはこれでいいとして
全然良くないですよ。いや、単なる個人の炎上案件ならそれでいいのだけど。
エフセキュアというセキュリティ企業の内部でセキュリティ意識に致命的な問題が存在することが発覚した。
事故ではなく故意によるものだから即座に済ませられる調査で結論出せる状況ではない。当人の言もあるし。
脊髄反射的に問題ないとプレスリリース出して問題を調査しない、
つまりセキュリティインシデント「かもしれない」状況で
なにも調査しないって事がセキュリティインシデントだろう。
Re: (スコア:0)
まさにこの通りだよね。もしかしたら「個人がやらかしただけ」で済む可能性もあったのに、会社の対応が悪くて自爆した印象。
いや、もともと会社ぐるみでやらかしてた事案なのかもしれないけどさ。
# それにしてもここまで悪手を打てるってのも凄いな