ハッキングされた企業は被害を開示すべきか? 40
ストーリー by hylom
問題が発生したら隠せ 部門より
問題が発生したら隠せ 部門より
taraiok 曰く、
企業がサイバー攻撃を受けた場合、攻撃された企業は被害額がどれほど大きくとも、それを公表する義務はない。しかし、そのことが被害を広げている可能性があるという(Bloomberg、motherboard.vice、Reuters、本家/.)。
たとえば、2009年3月15日に中国のハッカー集団が米Coca-Colaに対して攻撃を行ったと見られているが、Coca-Cola側はこれを公開していない。また、2011年7月に世界最大の鉄鋼会社ArcelorMittalのコンピューターが侵入され、機密ファイルが盗まれたという事件があったそうだが、ArcelorMittal側は詳細を株主に公開することはなかったという。このほかにもDupont社やLockheed Martin社が、中国のハッカー集団に狙われていたという。
米国の元防諜責任者Joel Brenner氏によれば、ここ10年間で2000以上の企業が中国のハッカーに狙われたことがあるという。しかし企業は投資家への影響を考えて、自社が攻撃されたという情報を開示することはほとんど無い。このことが中国ハッカーを増長させる要因になっている可能性があるとしている。
何とでも言える (スコア:5, すばらしい洞察)
・被害を開示しないことが中国のハッカーを増長させる要因になっている可能性がある
というのがこの記事の結論ですが、
たとえば逆に被害を開示していたとして、被害を開示している企業を挙げて、
・被害を開示することが中国のハッカーを増長させる要因になっている可能性がある
と結論することもできます。
根拠を言わずに可能性を指摘するだけなら何とでも言える気がします。
Re:何とでも言える (スコア:1)
中国叩きたいだけなんだから細かいとこは気にするな。
Re: (スコア:0)
同感。私は公開することによってクラッカーに「効果があった」と知らせることになり、さらなる攻撃を呼ぶ可能性が高いと思っていますが、これもまた根拠なしの推論。
#その昔日本が送った風船爆弾はけっこうアメリカに被害をもたらしたが政府はそれを日本に知らせたくなくて情報統制したとか。
どこの大名破りの鼠小僧 (スコア:0)
公表することで注意喚起する、同じ手を使わせないようにする、というのは被害が広がらない手だとおもうのだけど
それをしないのは社会的道義から考えてよくないと思いますよ
Re: (スコア:0)
Re: (スコア:0)
隠蔽すれば焦燥感は生まれませんよ
Re: (スコア:0)
そういう注意喚起は、被害企業から相談を受けるセキュリティ企業がよくやってると思いますけど、
cf.大手企業への相次ぐ標的型攻撃 今の対策に自信がありますか? [trendmicro.com]
それなら具体的な企業名を出す必要はなさそうに思われます。
姿を見せない犯罪者との情報戦でもあるので、不用意に手の内を見せないほうがいいような気がするんですよね。
企業「先々月、標的型攻撃を受けまして、対策を完了しました」
攻撃者「あ、コイツら休眠させてるマルウェアに気づいてないんだ。ほとぼりが冷めたらまた行くか」
みたいなことにならないかと。
Re: (スコア:0)
ぶっちゃけ公開したところで攻撃対象になるような企業が気をつけるとは思えない。
公開されている情報の対策をちゃんととって無いようなところが標的になっているしね。
で、結局は攻撃者の戦果として列挙されるだけになるんでしょうな。
Re: (スコア:0)
「『臭いモノには蓋』にも理あり」の、ほのめかし。
これをすばらしい、と考えるバカもおるんやのぉ^^
元コメの > 何とでも言える気がします。を否定する気はないが、
現在アメと支那は正式に交戦中ではないから、民間の問題として扱うべき
&& いくらバカでもクラッカ~は、与えた被害≒己が何したかは認識してるから、
> 被害を開示することが中国のハッカーを増長させる要因になっている可能性がある
は、根拠なしの推論だと思うぞ。
F5攻撃はどれくらいから (スコア:2)
開示するべきですか?
Re:F5攻撃はどれくらいから (スコア:1)
web鯖のload averageが500くらい行ったらでいいんじゃないですか。
サービス止まっちゃったら流石にスルー出来ないし
// httpに限定したDoSをハッキンg^H^H^Hクラックの範疇に収めて、果たして今どきいいものかどうか(:>^
お約束 (スコア:1)
Re:お約束 (スコア:1)
ところで、動詞と動名詞の日本語文脈での使い方が統一されていないのはいいんだろうか。
Re: (スコア:0)
念のために g もつけようw
Re: (スコア:0)
ついでに
s/ハッカー/クラッカー/g
しないのかできないのか (スコア:1)
世の中に公になるとマズイ情報まで中華クラッカーに握られてて、公表したら藪蛇つつくのでできないってこともありそうだ。
あるいは、それをネタにタカられてるとか邪推は広がるどこまでも。
中国企業とネットワーク接続すると酷い目にあう (スコア:1)
オフトピ気味ですが・・・。
何年か前、世界クラスの日本企業にてIDSオペレーターやってた者です。
当時、関連会社や取引先各社と接続しているネットワークを管理しており、
業務WANから社内ネットワークへの攻撃を検知しては、各社の担当者へ警告する業務を行っていました。
たいがいはHorizontal ScanやNETBIOS系のウイルス起因による検知ですが、
中国系企業からの攻撃だけは全く別物。
手法も多彩で、いろいろ勉強になりました。
重要なサーバーへのVertical Scanは毎日当然あり、かなりニッチな攻撃シグネチャを山ほど食らいます。
しかも毎回同じところで同じ時間帯。でも攻撃手法は日々変わる。
で、検出すると警告のため対向先ネットワーク担当者へ連絡するわけですが、、
国内や欧米各国は即座にリプライがあるものの、中国/韓国系は全く反応有りません。
ていうか攻撃元の割合も中国/韓国に明らかに偏ってる。
もうね、真っ黒です。
たぶんわかっててやってるのでしょう。
で、ちょくちょく攻撃成功してるし。ダダ漏れだね。
残念ながらわたくしめは曾孫請けにつき、技術に疎い発注元にエスカレーションしても無視されるだけでした。
毎日警告メールをテンプレートで送るだけの日々。
あまりにヤバイので大本に投げたら、発注元がうやむやにして揉み消しやがった。
辞めてしばらく経ちますが、いまも続いているのでしょうね。
で、そこでの攻撃成功等については、一度も外部に公表されていません。
やつらとネットワークをつなぐのは正気の沙汰ではありません。
ご参考まで。。。
あたりまえ (スコア:0)
自社の利益にならないことをするなんて、株主に対する裏切り。
Re:あたりまえ (スコア:3)
決算公告の義務を果たすだけでも、経営にインパクトのある規模の被害なら、嫌でもバレる。もちろん使途秘匿金勘定で決算をだすこともできるが、税率は高い(日本の場合二倍)し、妖しい決算になることは間違いない。それを自社利益とみなせるならそうすればよい。
そのときに十分な説明をしないのは経営側の自由だけど、不十分な説明の結果として株主や債権者はリスク要因を疑って評価せざるを得なくなるでしょ。それは、例えば株価を下げる要因になるし、あるいは資金調達コストを上昇させるわけだから、自社利益とはなりにくい。より直接的には株価下落によって株主の損失をもたらすことになる。
結果的に、よくわからん下ぶれに対して複数のリスク要因を疑わせるより、一つの確定した被害を開示するほうが一般的にはてっとり早いですし、合理的な方法になるのが本来の市場原理でしょう。
Re: (スコア:0)
そうならそれでいいんだけど、
投資家への影響を考えて情報を開示しないことが、
ハッカーを増長させる要因になっているからよくない
って言ってるように読めたので、
ハッカーを増徴させないために自社の利益にならないことを
するほうがよっぽどよくないだろ、と思ったのです。
Re:あたりまえ (スコア:1)
つまり、何が本当の利益になるのか判断できるよう、
投資家全体が賢くなる必要があるってことか。
Re: (スコア:0)
でも、隠していたのがバレたら株主は烈火のごとく怒って経営陣に責任をとらせようとするよね。純粋な被害者でも。
Re: (スコア:0)
自社株主には確実に周知し、なおかつ一般には非公開という手段があるならば別ですが、それはそれで株式市場に対する裏切りですよ。
Re: (スコア:0)
「株主*だけ*に知らせることができて、それ以外には知られない」
という選択肢があれば、オーナーである株主さまにお知らせすることも望ましいでしょうね。
もしクラッカー殿がクラッキングの成果を知るために株主になることでもぐりこんでおけば、
最初の定義には合致するかもしれませんが、その後のことは自明でしょうね。
つまり、株主に知らせるということは公表してしまう事と同じ効果なのではないでしょうか。
それによって株主の利益を損ねるような会社の損失を助長してしまうことになれば、
それも株主への裏切りともなるでしょうね。
特定の株主個人の満足度と満たすために、株主全体の価値が損なわれる事も経営側の
責任であり、それこそ一定の株主から株主代表訴訟でも起こされかねませんね。
被害額 (スコア:0)
算定できるんだろうか?
盗まれた情報Aは何円とかって、何を基準に値段つけるん?
Re:被害額 (スコア:2, おもしろおかしい)
が定説のようです。
Re: (スコア:0)
クレカ情報でも同じ事言えるの?
Re: (スコア:0)
リアルの場合はどうなん? (スコア:0)
物理的に侵入されて顧客リストや帳簿を盗まれたって事件は今までにもありそうだけど。
Re:リアルの場合はどうなん? (スコア:1)
どっかのオンラインゲーム会社のサーバが、RAID1のミラーをしていたディスクを片方だけごっそり盗まれた事件があったな。
しかもデータセンターから。
RAID1だから動作に影響が無くて気付かなかったんだと。
ネットでも話題になってたから、公表したんじゃないの?
犯人は捕まったんだろうか。
日本の警察の捜査力じゃ無理か。
Re: (スコア:0)
いや、そういう話じゃなくて今まで紙の物理的な顧客情報とかを盗まれちゃった場合にはどうするのが普通なのかなーと。
Re: (スコア:0)
昔はそんなコトきにしてなかった。
古本屋で普通に各種の名簿が売られてたし。
Re: (スコア:0)
RAIDダウングレードの監視機能が無い…だと?
激安PCサーバのオンボードコントローラーでもピーピー鳴るが、集中管理ソフトまでは使っていないと?
いやでもデータセンターでか?
Re: (スコア:0)
某社のプロキシアプライアンスだけど、故障した状態のディスクの存在が電気的に見える場合には警告を飛ばすのに、
ディスクが完全にお亡くなりで存在すら見えなくなったとか、ブート時点でそもそもディスクが足りないとかの場合には一切警告が出ない、という「仕様」を思い出した。
警察にも言わないのはどうかと (スコア:0)
警察に被害届出すと犯人が捕まって裁判になったら詳細が出ちゃうからでしょうけど、
被害うけて黙ってたら、アタックしやすいイージーな相手だと思われるでしょうね。
中国からっぽい場合は公表した方が吉 (スコア:0)
中国という国は、特に政府は欧米先進国での評判を日本よりも遥かに気にしていますからね。
中国国内の諸問題など不味いニュースから目を逸らしてもらうという目的もかなりあるとは思いますが、
日本と比べても海外ニュースの枠が大きく、アメリカ、日本、欧州という3つのカテゴリのニュースは扱いが大きいです。
しかし、「中国からのアクセスで・・」と欧米で騒がないと報道もされないので、中国政府も動きません。
欧米で騒がれると、例え、攻撃をしたものが解放軍であれ、民兵であれ、一般人民のクラッカーであれ、
対応はせざるを得ません。放置すると、人権や貿易など別問題で代わりに攻撃される口実を作られますし。
日本での場合は、クラッキングの場合は日本で騒いでも、よくやった!という風に世論が朝鮮並みの質に落ち込んでしまい
ダメですが、強盗やら殺人やら強姦やらの犯罪の場合は別です。
日本が日本国内や欧米向けに騒ぎまくれば、中国もメンツがあるので無視はしません。
Re: (スコア:0)
無視はされないけど逆恨みされるんじゃ…?
Re: (スコア:0)
逆恨みして反撃しようとしても力の差から追い込まれるだけですよ。
旧列強諸国は日本のように優しくないです、反中国宣伝キャンペーンでも張られたらひとたまりもありません。
それをわかってるからこそ、自分たちをムチで叩いていたようなイギリスやフランス相手(核を持っているインド、ロシアにもだけど)
にはケンカを売らないで、脅せば金を出し譲歩する日本に角田容疑者のように張り付いてくるわけですよ。
#とは言え、これまでうまくいっていた対日でのこの方法も、民主党の動きを読みきれなかったために引っ込みがつかなくなり、
#尖閣での武力衝突二歩手前くらいまで行って、さらにアメリカに安保で脅されて、結果的に対日で譲歩するという形になってしまい、
#今、中国国内で共産党は苦しい情況になりましたが・・・。
#チンピラが調子に乗ってドツボにハマってしまった事例です。
誰が得するか?この場合の桶屋は誰か? (スコア:0)
ハッキングされた企業は被害を開示すると、危険性を煽りやすくなるので、
セキュリティ企業が儲かる気がする。
そういえば、映画『ボウリング・フォー・コロンバイン』で、
銃犯罪のニュースを沢山流すと銃が売れるとか、そういう話があったね。
某古本の通販 (スコア:0)
利用者への通知はしてなくてサイト上に以下へのリンクが貼ってあるだけというのはどんなもんなんだろうなあ。
流出したか確認出来ていない=流出していないか確認出来ていないなんだろうから
被害が出る前に利用者に通知する義務とかありそうなんだけど。
>なお、不正アクセスによる流出については現在、確認できておりませんが、調査の継続及び、安心してご利用いただけるよう、サイトでの不審な利用の監視を引き続き行っております。
>携帯電話サイトのクレジットカード情報につきましては、現在、漏えいの可能性は確認しておりませんが~