今度はNECネッツエスアイ社員がShareで流出事件 109
ストーリー by hylom
ミイラ取りがミイラに 部門より
ミイラ取りがミイラに 部門より
あるAnonymous Coward 曰く、
探偵ファイルやZAKZAKなどで記事になっているが、NECネッツエスアイの社員がShareを使用し、暴露ウィルスに感染して情報流出を起こしたことが話題になっている。
上記記事によると、流出した内容には大量の盗撮画像に動画といった犯罪行為の形跡や、社内の画像、本人に関する情報、そして顧客に関する情報なども含まれているらしい。類似の事件としては、IPA職員による情報流出が思い起こされる。
NECネッツエスアイは、NECネッツエスアイが個人情報保護対策のコンサルティング力を強化などと同社自ら宣言し、「プライバシーアワード2009 プライバシーコンサルタント資格普及賞」も受賞しているが、不心得者一人の存在により同社の信用(や株価)が打撃を受けるのみならず、個人情報保護に関する啓蒙活動を行っている団体や認定制度の存在意義が問われかねない事態になるところが情報セキュリティの怖さである。
ちなみに、5月31日頃に流出が発覚し、既に一週間が経とうとしているが、同社サイトには(タレコミ時点では)本件に関する情報は掲載されていない。
紺屋の白袴 (スコア:4, 興味深い)
もしかしたら「自社内のコンサルテーションは無償だと思っていたら、事業部が違うので値引きなしの価格を提示されて断念した」というオチかもしれませんが。
Re:紺屋の白袴 (スコア:4, 参考になる)
p2p調査させて結果の提出もさせてるのに、NECの看板出してるところの社員がこれかよ!
Re:紺屋の白袴 (スコア:3, 興味深い)
これを理由に拒否しようかな。
#こればっかりはなにがなんでもACで
Re:紺屋の白袴 (スコア:1, すばらしい洞察)
当該の会社がそうだというわけではなく一般論ですが、セキュリティコンサルタントを装ったスパイに日本は弱すぎると思いますよ。
外国の諜報機関の息がかかっていることが否めないウイルス対策ソフトを全社で採用するとか、呆れてしまうことが多々あります。
Re:紺屋の白袴 (スコア:3, おもしろおかしい)
当社の情報保護対策が優れていたので、Hな画像の流出程度で済んだのです。
と、営業に使う。
逆に考えるんだ (スコア:1, おもしろおかしい)
一人の犯罪者による犯罪行為を終わらせる事が出来た、と考えるんだ。
もしもNEC自慢の情報保護対策が彼の手持ちデータに対しても有効であったなら、
犯罪行為は隠蔽され、今後も続けられていたかも知れない。
彼個人の環境にその情報保護対策が適用されていたか否かも含めて包括的に見て、
その情報保護対策が望まれる機能を果たさなかった事により、
社会正義に適う結果が導かれた、と開き直るんだ。
# 王様、これは、
# 「馬鹿と不心得者による愚かしい行為の結果」
# は保護しない、魔法の「情報保護対策」で御座います。
Re:紺屋の白袴 (スコア:1, 興味深い)
Re:紺屋の白袴 (スコア:4, すばらしい洞察)
会社全体としては商品が良く売れている会社でも、「前の営業が態度が悪かったから、お前のところからはもう二度と買わない」ということを言われる営業マンは少なくないでしょう。
個人とシステム全体を区別している人は確かにいますが、それしか世の中にはいないように考えている営業は間違いなく無能です。
Re:紺屋の白袴 (スコア:1, すばらしい洞察)
「前の営業が態度が悪かったから、お前のところからはもう二度と買わない」
には裏があると思った方がいいです。
本当に態度が悪いだけではそこまでひどいことにはなりません。
納期遅らした(後のフォローも悪かった)とか、製品の説明がちゃんとできてなかったとか、要望を全然聞かなかったとか、そういうことをいろいろやったのでしょう。
そういう細々とした悪行をあげるのが面倒くさいので「態度が悪かった」と一緒くたにいうわけです。
大きい会社は大変なんだろうね (スコア:3, おもしろおかしい)
情報流出疑惑事件があった。
(どうもP2Pでデータが流出したらしいとの話が飛び交った)
そこで、PLが
PL「てめぇらがしっかり外注を管理しねぇからだよ!」
などとあたかも外注が事件を起こしたかのように、罵声を飛ばしていたが、
調査した結果、情報の流出元はPLだった・・・・(ばっちしWinnyを使っていたようです)。
その後、PLはどっかに飛ばされたと聞いたが、何をやってるんだろうか。
その事件を受け、その大手では急きょ情報セキュリティ説明会みたいなのを開いたが、
社員「私たちは忙しいので、外注だけで行ってください」
などと、一部講習を受けない社員もいた。
(いいのかあれで?)
外注・派遣と外を疑いたい気持ちも分かるけど、
まずは身内からしっかりしないと厳しいものがあるわな。
だからどうした (スコア:2, おもしろおかしい)
----------------------
流出したファイルを拾えと
煽っているだけだろ。
----------------------
この手のニュースで毎回思うこと。 (スコア:2, すばらしい洞察)
「どうしてp2p専用機を立てないのだろう?」
怪しいモノを扱う環境を、物理的に隔離されたマシンで行えば、このような事態は避けられるのに…
# やはり、建前上の使用禁止ではなく、正しい使い方の講習が有効なのでは?
notice : I ignore an anonymous contribution.
なかなか現実を見ない国民性があるのかも?(Re:この手のニュースで毎回思うこと。 (スコア:4, すばらしい洞察)
これだけHIVが問題になってるのに防御を殆どやらないものだから [livedoor.com]、「先進国」では異例に近い速度でHIVのみならず性病の感染者などが全般的に増えてしまってるのと同じ根っこと言うか精神性が起こしてる現象のような気がしますが。
両方共、「自分は大丈夫」と言う根拠のない自信が蔓延してるのもありますが、それといっしょに「『悪いこと』をやってはならない」と言う一種のイデオロギー(断じて道徳ではない)に裏打ちされた建前主義が蔓延してそれをやること自体を前提とした自己防衛の教育というのはタブーにされがちで実状に沿った教育をすれば上からというか自称モラリストからの横槍が入って袋叩きにされる [webry.info]。
# リンクは性教育とか性感染症とかそういう風にしましたがP2Pや「違法」着うたや出会い系と言ったネットにまつわること
# でだって同じ構図でしょ?と言うことで…
そういう部分で非常に性感染症や子捨ての問題と非常に似た精神的な風土のようなものをこういう安直な流出が頻繁にある裏で規制ばかりで実状に応じた啓蒙がされて居らずに流出が再生産されてる現状を見ていて感じるのですが…
日本は先進国中で最もHIV感染者少ないようですよ (スコア:3, 参考になる)
トピック本筋では無いですがAIDSの件。
日本のエイズ感染率は0.1%未満 [ttcn.ne.jp]
と、他国よりずっと低い数字です。米、英、独、仏、伊より低い。
イギリスでは新規HIV感染報告数が2001年の4,152 人から
2006年に8,925人と5年間で2倍。
日本での2006年の新規HIV感染者952人・
新規エイズ患者数は406人.。イギリスよりずっと少ない数。
増加率も日本よりイギリスが高い。 [atwiki.jp]
「日本だけで患者が増えている」という妙な言葉は
根拠になる統計が見当たりません。
日本のHIV感染者の増加「率」ばかりを話題にするのは変ですね。
「現に日本は、先進国の中で最もすぐれたレベルだから、これを維持しましょうよ」
という啓蒙が数字の上では妥当かと思います。
(悪い数字だけとりあげるのが脅し効果があるんでしょうけど)
言霊を信じてる (スコア:2, すばらしい洞察)
会社とかで
「ダメだったときのリスク回避策考えましょう。」
とかいうと、変な目で見られたりするでしょ?
Re:言霊を信じてる (スコア:4, おもしろおかしい)
>ダメだったときのリスク回避策考えましょう。
では無くて
駄目だった時に「こんなこともあろうかと」とボタンを押して、密かに実装していた対策プログラム(タスクフォース)を起動させる。
で行きたいものです。
でも、
昔どうしても聞き入れられなかったリスクが実際に発生して問題となった時に
「こんなこともあろうかと」と対策マニュアルを提示したら、
偉い人から「なんで最初からそれを適用してないんだ!」と怒鳴られた。
いや、リスクマネジメントを拒否したのはあなたご自身だったんだけど・・・・・
Re:言霊を信じてる (スコア:1)
「駄目だった時」にはそのリスクが実現してしまっているんだから、
「回避策考えましょう」と言えば変な目でみられるのでは?
インシデント発生時のダメージ最小化のためのシナリオは、
まともな会社なら考えていると思いますよ。
Re:言霊を信じてる (スコア:2, おもしろおかしい)
リスクを改作しちゃいかんです。
Re:言霊を信じてる (スコア:1)
え~と、それでも防ぎきれなかったときにどうするか、を考えておくのが重要ってことでないの?
システムの変更作業とかで、こういう間違いがあるかもしれないから、とかいって前もって間違いが
起こる可能性を排除した手順書を作っても、最終的に何か作業するのは人間で、そこには絶対という
言葉はありえないわけです。
そうすると、間違った作業を行った場合にどういうことが起こるのか、ということを前もって考えて
シナリオを作っておくのが重要でしょ?
でも、そういうこというと面相くさそうな顔をする連中がまだまだ多いんだよね。
視点をかえて話すると、コンペティタがいるある案件の見積りを出す際に、相手がここまでの値段だ
してきたら撤退するようにしましょう、とか、その際に、どうやってお客に好印象を残して次を繋げ
ながら撤退するかを検討しておきましょう、とかいうと、
「最初からそんなことを考えてどうする!」
「根性で安くするんだ」
とかわけのわかんないことをいうオヤジどもがいたりするわけで。そういう連中が無駄に人員動かし
て検討して、無理やり値段下げた上で失注したり、受注しても無理やりだったからダメダメなシステ
ムになったりするわけで
後半部分のグチをいいたかっただけなので ID
--- show mpls ldp neighbor
Re:なかなか現実を見ない国民性があるのかも?(Re:この手のニュースで毎回思うこと。 (スコア:2, すばらしい洞察)
横レスですがちょっと違うと思います。
いくら警告してもやるバカはいるんです。にもかかわらず「やっちゃダメ」で
終わらせてしまってるのが「建前論」ってこと。
「そっからさきはそもそもやってダメなことだから対策も考えません」では
収まらなくなってるのでは?というのが元コメの意図するところでしょう。
それでも「やっちゃダメ」なことをやって、当人が自爆して勝手に死ぬだけなら
一向にかまわないでしょうが、こういった情報漏えいは
往々にして本人の自己責任の範囲を越えてしまいます。
確かに、麻薬患者に注射器の正しい使い方を教育するような不自然さや、
中高生に正しい性教育をするような滑稽さがありますが、とはいっても
見てみぬフリをして善良な第三者が巻き添えをくらいつづけるのは
そろそろとめなければならないのではないでしょうか?
Re:この手のニュースで毎回思うこと。 (スコア:2, おもしろおかしい)
その講習を受けた社員がLinuxのISOやら自作のポエムやらの共有をしてるだけなら良いだろうけど
著作権のあるデータをやりとりして逮捕者なんかが出たら
「お前の会社は犯罪を助長する社内教育をしているのか!」と怒られてしまうよ
# ストーリー的に「社内教育」と書きましたが、ユー○ャンなどの通信講座とか
# 各自治体で行われている市民講座とかでも一緒ね
## あー、でもNHK教育で「65歳から孫と始める楽しいファイル共有講座」とか言う番組があったら見ちゃうかもw
Re:この手のニュースで毎回思うこと。 (スコア:1)
最近はみなさん晩婚なので、65歳では孫がいない家庭も多いのでは。
Re:この手のニュースで毎回思うこと。 (スコア:1)
記事によると、二児のパパだそうですよ?
盗撮用PC(仮称)の前に座ってたら家族にバレちゃうじゃないですか。
# いあ、このPC使って盗撮するわけじゃないだろうけど。
Re:この手のニュースで毎回思うこと。 (スコア:1, すばらしい洞察)
Re:この手のニュースで毎回思うこと。 (スコア:1, おもしろおかしい)
Re:この手のニュースで毎回思うこと。 (スコア:1, すばらしい洞察)
「どうしてパソコンに入力(and/or)保存するのだろう?」
他人の悪口とか、そんなの自分の心の中にしまっておくべきモノだろうに。
人に知られたくない自己の性癖に至っては、データと化して保存すること自体がリスクだろうに。
誰が騒いでいるのか (スコア:2, 興味深い)
タレコミには
と当事者が聞くと飛び上がるような恐ろしいことが書かれているにもかかわらず、なんで
掲載されていないのでしょうね。これってタレコミのいうとおり
会社の信用が打撃を受け、認定制度の存在意義が問われかねない事態になっている
のに無視しているのか
株価が下がるほどの信用低下は起きていないので会社としてアナウンスする程度でもない
のかどっちなんでしょうね。少なくとも株価を見るだけでは打撃を受けた形跡が見られません。
http://stocks.finance.yahoo.co.jp/stocks/detail/?code=1973.T&d=1m [yahoo.co.jp]
こういう客観的なデータを見ると、タレコミでアナウンスがないことにあえて言及しているのは、「アナウンスしてくれないと騒ぎ始めた俺たちの面目が立たない」という心理が働いているのかなと。
信用の打撃 (スコア:1, 興味深い)
http://smartchart.nikkei.co.jp/smartchart.aspx?Scode=1973.1 [nikkei.co.jp]
ちゃんとプレスリリースが出される前に空売りしまくるのは、インサイダー取引にあたる?
みんな仕事好きだねぇ (スコア:1, 興味深い)
家出まで仕事するなんて僕にはマネ出来ません。
それにしても探偵ファイルによると北陸支店勤務。
もしかしてご近所さんかも。
# 北陸在住のためAC
「リア充」ってやつ? (スコア:1)
いつもそういう人の写真まで流れてるようですし。
もしかしたら意外ではなく、何か共通したメンタリティがあるのかもしれないけど。
--------------------
/* SHADOWFIRE */
Re:「リア充」ってやつ? (スコア:1, すばらしい洞察)
それは話が反対で、そういう人の流出データのみが祭りageられるわけです。
流出させていいのは顧客情報までt/o (スコア:0)
リスクを「認識」ぐらいしてほしいもの (スコア:0, 既出)
#仮想化して作業環境から切り離すとかさ
Re:リスクを「認識」ぐらいしてほしいもの (スコア:2, すばらしい洞察)
認識した(つもりの)上で、自分は大丈夫だと思っているんじゃないかなあ。
Re:リスクを「認識」ぐらいしてほしいもの (スコア:1, すばらしい洞察)
Re:リスクを「認識」ぐらいしてほしいもの (スコア:3, 興味深い)
伝えてる。
社内研修で流出させたらどうなるという実例付。
#内の人なのでAC
Re:リスクを「認識」ぐらいしてほしいもの (スコア:3, 参考になる)
この手の教育は、大抵「A ならば Z」という事しか教えません。
しかしながら、A と Z の間のギャップがあまりにも広すぎて(あるいは受講者側の想像力が貧困で)、なにその「風が吹くと、桶屋が儲かる」は としか思ってもらえないものです。なので、Z は怖いと思う事はあっても、じゃぁ、A はやめようとは思わない。
下手をすると、今まで A を使ってきて平気だったんだから、平気だよ。その人、別の何かの要因も一緒にあったんじゃない? と言い出しかねない。
# いやまぁ、確かに。例えばエロ画像をばら撒いた人は、そもそもエロ画像を撮っていたわけですからね。
# えぇ、エロ画像を撮っていなければ、そいつはばら撒かれなかったでしょうよ。
というわけで、実例を教える程度 では全然ダメです。
ケツをひっぱたくには、漏洩に至る工程(?)をガッツリ全部教えて、実演もして見せてあげないと(いや、本物のネットワークに漏洩するって言う意味じゃなくね)。
そこまでやらないと、人間は動かない。
fjの教祖様
Re:リスクを「認識」ぐらいしてほしいもの (スコア:1)
じゃあ社内研修の一環として、この手の情報漏洩ウイルスを作成するってのは?
昔みたいにバイナリレベルで手の込んだ工夫は不要だから、いかに簡単に作れてアンチウイルス製品に引っかからないかってのが実感できるんじゃないかな。
Re:リスクを「認識」ぐらいしてほしいもの (スコア:1, おもしろおかしい)
問題は配布そのものが罪に問われるようなファイルだな・・・。こればっかりは、いくら著作権料を払っても無理だ。
Re:リスクを「認識」ぐらいしてほしいもの (スコア:2)
薄給なのにまじめにやっているひともいるのにね。
結局はその人の意識しだいか・・・
日本語がおかしい (スコア:0)
Shareで流出事件
Re:日本語がおかしい (スコア:3, おもしろおかしい)
>日本語がおかしい
>Shareで流出事件
ご存じ、ないのですか?
「Share」こそ、47氏逮捕以後の混乱からチャンスをつかみ、
P2Pファイル共有アプリケーションのシェアの座を駆け上がっているソフトウェアです!
Re:日本語がおかしい (スコア:2, おもしろおかしい)
なるほど、社員が逃げたのか
Re:ま た つ こ う た か (スコア:2, 参考になる)
東海理化の人もハメドリ映像を流出していたけど、NEC社員が話題になったことはない。
Re:出歯亀いくない (スコア:3, 興味深い)
自称正義の人々が無駄に行動力発揮して被害を拡大することがままあるのは確かですが、
○○(会社や個人)が××(データの種類)を流出させた、という事自体はニュースにすべきではないかと。
データ自体やデータを特定する手段が(当事者以外には)伏せられていればいいので。
(自称正義の人々のために難しいでしょうけど)
Re:出歯亀いくない (スコア:2, すばらしい洞察)
そりゃ個人が個人的なデータを流出させただけならどうかと思いますが、
「顧客に関する情報」も含まれているようですが?
#個人的なデータも犯罪行為の形跡とかだそうだが、まあ別の話か。
Re:出歯亀いくない (スコア:1)
別に信じなくても構わないけど、1581973 [srad.jp]は私じゃないよ。
#まあ、1581973がなかったら同じようなこと書いてただろうし、書いたような前提で続けるが。
探偵ファイルに
とあるのだが。
あなたは「顧客に関連する流出物≠顧客情報なので顧客情報が流れたとは言えない」というスタンスなのだろうか。
私は「顧客に関連する流出物≒顧客情報なので顧客情報が流れたと言える」というスタンスなので、
顧客情報が流れたと言えるかどうかは「顧客に関連する流出物」に対するあなたと私の見解の相違だ。
少なくとも嘘吐き呼ばわりされる筋合いはない。
Re:出歯亀いくない (スコア:1, 興味深い)
Re:出歯亀いくない (スコア:2, 興味深い)
> 探偵ファイルに
> | 消防署と思われる画像等、顧客に関連する流出物もある。
> とあるのだが。
顧客情報が流出したと判断した根拠はわかりますが,この文章はおかしくないですかね?
「消防署と思われる画像等、顧客に関連する流出物もある」
この文章では,前半の不確定要素を根拠に後半で断定していますが,画像が消防署でなかった場合はどうなるのでしょう?
また仮に消防署と断定できたとして,これが顧客に関連する画像と誰が判断したのでしょう? 流出させた本人や会社が判断したのでなければ,本人が消防オタの可能性も否定できないですよね。
少なくとも探偵ファイルの情報だけからは,顧客に関する情報が流出したと断定しないほうが良いと思いますし,(重要な情報でないにしても)流出していないと言い切るのもできないと思います。
Re:実は政治とマスコミ、そして教育の問題 (スコア:2, おもしろおかしい)