「新型コロナは体調管理ができていない証拠」との求人広告、IDを知る元従業員が不正アクセスで改ざんしたものとの発表 57
ストーリー by hylom
担当者が変わったらパスワードを変えましょう 部門より
担当者が変わったらパスワードを変えましょう 部門より
Anonymous Coward曰く、
先日、「新型コロナは体調管理ができていない証拠」などとうたった求人広告が炎上する事案があった。この求人広告を出していた企業は、不正アクセスによる改ざんと発表していたが、その後調査の結果、同社の元従業員が嫌がらせ目的でこれを行なったと同社が発表している(ITmedia)。
求人サイトの管理用IDやパスワードを知る元従業員が、在職当時の12月下旬に嫌がらせ目的で虚偽のメッセージを掲載したという。その後この社員は退職したが、IDやパスワードは変更されていなかったために改ざんが続けられていたという。
なお、この元従業員が働いている企業は対応の完了後に責任を取って辞任するとしている。
さっぱりわからん (スコア:5, おもしろおかしい)
> なお、この元従業員が働いている企業は対応の完了後に責任を取って辞任するとしている。
いくら何でもこりゃ酷い 企業が辞任するんですか
リンク先
> 最後に、私は、当問題に関する対策、対応等の任務を全うした後、本件の責任をとって辞任する意向です。
> 重ね重ね、心から陳謝いたします。
>
> 株式会社つながり
> 代表取締役社長 間宮 秀樹
元従業員でも元従業員が働いている企業でもない
問題の企業の社長ですね
Re:さっぱりわからん (スコア:5, 参考になる)
おもに、ねとらぼの記事がよくわからなったので整理
登場人物
元従業員: 過去に"つながり"で働いていた。なりすましをしたとされる人物
つながり: engageで求人広告を出していた会社。Dr.ストレッチフランチャイズ加盟店
フュービック:Dr.ストレッチの運営元
時系列
2019年12月下旬
元従業員が"つながり"との対立から虚偽のメッセージ掲載を始める
・・・その後退社
2020年2月中旬
元従業員はこの時期まで改竄を続けていた
2020年3月10日付近
炎上したことがsradに掲載される
2020年3月11日
フュービックが「サイトの改ざんを行った人物」がつながりの元従業員であることを発表
各社の対応
フュービック:(到底容認できるものではないが)今回は謝罪を受け入れ、法的措置などは控える
つながり:民事および刑事での責任追及を行う予定
つながり社長:本件の責任をとって辞任する意向
スラドの記事
元従業員が働いている企業(働いていた企業を書き間違えた?退職後に現在勤務している企業?)が辞任
# ・・・辞めた従業員が会社のID&PWを覚えている可能性はあるから、
# ビジネスにおいてはパスワードの定期的変更は意味があるのだなぁ
Re: (スコア:0)
定期的でなくても、関係者1人辞めるごとでええのんとちゃうか
Re: (スコア:0)
理想を言えばそうですが、まれに発生する作業にしてしまうと、
変更を忘れるという可能性もあるため、定期的に実施するということもあるのかなと
# まあ結果として、"部署名+年月"をローテションするパスワードが作られてしまうのですが
Re: (スコア:0)
あと、単純に「関係者が辞めたら」ではだめで、
「人事異動で別の部署に移ったら」とかも考慮する必要があります。
業務上どのような情報を知っている可能性があるか考慮してパスワード変更を実施するより、
変更の条件を定期的に実施と固定化してしまったほうが、変更が漏れるを無くせられるかと
# すでに、手段と目的が入れ替わっていますが
Re: (スコア:0)
問題の根幹は場所にパスワードを設定するシステムじゃないの?
ある種のパスワード共有、これが駄目なんでしょ
従業員一人ひとりにIDを当てて、アクセスできる人を選択するシステムなら
その従業員がやめたらそのアカウントを止めるだけでいいのに。
パスワード共有とかすると、勝手に変えたら他に人が困るから変えるに変えられない
Re: (スコア:0)
そうは思うんだけど、NW機器とかパスワード共有がやむを得ないシステムもあるからな
Re:さっぱりわからん (スコア:1)
覚えられない複雑なパスワードをディスプレイにポストイットが最強説
Re:さっぱりわからん (スコア:1)
そこらへんCiscoやらちゃんとした業務向けのはローカル認証でもちゃんとユーザーを個別にできるようにしているんだよなぁ。
YAMAHAや元BayNetworksのスピンオフであるNetGearがadminパスワード1つしか付けられない機器が多いのはどうかと思うけど...
Re: (スコア:0)
ActiveDirectoryとかLDAPとかもはや古典なのにね。クラウドならAzueADとかADFSとかいっそCloud Identityとか使えば良いだけ。
Re:さっぱりわからん (スコア:1)
辞表
一身上の都合により○年○月○日をもって企業を辞任させて頂きます。
株式会社○○(丸印)
Re: (スコア:0)
>元従業員が働いている企業は
元従業員が働いていた企業?
元従業員が現在働いている企業?
ってのも。
Re: (スコア:0)
別に社長は辞任する必要はないと思いますけどね。
炎上に参加している人たちの殆どは、それを楽しんだのではないかな。
Re:さっぱりわからん (スコア:2, 興味深い)
ただの悪戯の改竄なら、社長には大きな責任はないとは思いますが、恨みを持って退社した人がこういう内容に書き換えたということは、多かれ少なかれブラックな社風はあるのでしょう。
そういう社風を作った、そしてそれが世間に露呈した、ということに対しては社長が辞任に追いやられるだけの理由になり得るかもしれません。
Re: (スコア:0)
同一犯の可能性もあるにせよ、転職者向けの職場情報口コミサイトでも、だいぶ前の書き込みでブラックだって書かれてたからなぁ。
Re: (スコア:0)
多かれ少なかれブラックな社風はあるのでしょう。
アカウント一個乗っ取るだけでネットの言説なんて簡単に操れそうだよな。
Re: (スコア:0)
アカウントにもよる。
米大統領のTwitterアカウントとか乗っ取れば、かなり色々動かせるんじゃね?短期的には。
Re: (スコア:0)
誰がどこを乗っ取ったのかが重要なのですよ。
Re: (スコア:0)
こういう輩を納得させるための儀式だな
Re: (スコア:0)
こんなの相当の知識のある人間が本気でアクセス元を隠蔽してやらなきゃ、調査されれば簡単にバレことくらい誰でも知ってるだろうにね。
それでも犯行に及んだってことは相当な恨みがあったんだろう。
元従業員にそこまでさせちゃった企業ってことは間違いない。
この社長は自分の会社がどれだけ酷かったのかを反省すべきだと思うわ。
Re:さっぱりわからん (スコア:1)
そういう線もあるし、単純にアホって可能性もある。というかそっちのほうが高い。
なぜって、文章どころか顔出しで店の冷凍庫に入ったりして、しかも画像アップするバカが居る世の中だぜ?
それに比べれば、顔も名前も表には出ていない改竄なら見つからんやろ、なんて考えなバカもきっと山ほどいる。
それ程今の日本人のセキュリティ意識は低い。
一般人のバカぶりを知らなすぎ。
驚くような無知蒙昧で浅慮なバカはいくらでもいるんやで。
コロナばらまいたる中年見ても分かるだろ?
自分の常識(知識)で世間一般を想定してはいかん。
Re: (スコア:0)
恨みが大したことなくても頭が軽ければあり得る
すぐ連絡してたというのが本当なら頭が軽いほうだろう
Re: (スコア:0)
すげーな、憶測断罪プラスモデ
Re:さっぱりわからん (スコア:2, すばらしい洞察)
>ドクターストレッチ本部、及び、関係各社に多大なるご迷惑をおかけしてしまったことを、改めて心よりお詫び申し上げます。
炎上に参加している人たちに対して頭を下げているのではなく、フランチャイザーに対して頭を下げているんですよ。
Re: (スコア:0)
やらかしたのはそこの会社「つながり」の元社員では。
フランチャイズ運営元のフュービックは許しても、うちはゆるさんというあたりに強い怨念を感じる。
経営陣との意見対立からの退職&復讐と併せて考えると相当ぐだぐだしたんだろうな。
Re: (スコア:0)
リンク先の謝罪文、自己紹介もなく突然「私が~」と言い始めて「誰だよ」ってなった。
自分の言葉で書いたのは評価するけど、誰も諫言してくれないワンマン社長だったのかな。
Re:さっぱりわからん (スコア:1)
独自ドメインでもなく、無料ウェブページ作成サービスで掲載するというのも信じがたいんだが。
この謝罪文自体が捏造かもしれない。
Re: (スコア:0)
ファンネルみたいにたくさん似たような会社を作って同時に操作しながらあれこれしてるわけだから、ひとつの企業に拘る必要はないってことでしょ。必然的に何もかもが使い捨てになる。
常識で考えたらダメだよ。
Re: (スコア:0)
「株式会社つながり」って全国に19社あるようです。
しかも、お詫びのアップ先が「ペライチ」となめきった名前のサイトだし、30日間無料のプランで作ってたら、30日後にはページが無くなっている可能性が高いし…。
Re: (スコア:0)
リンク先も誤字脱字や意味不明な文章が多いからなんとも
Re: (スコア:0)
なんかスラド見てるときみたいにイライラしますよね。
Re: (スコア:0)
スラドを見てイライラするのは荒らしだけだぞ
Re: (スコア:0)
>いくら何でもこりゃ酷い 企業が辞任するんですか
擬人化とはこういうこと?
元従業員は存在するんだろうか (スコア:4, すばらしい洞察)
そもそも、その元従業員の存在が疑わしいと考えているのは私だけだろうか。
不正アクセス行為の禁止等に関する法律の被疑者になる以上、いつもの調子なら実名報道なのでは。
Re:元従業員は存在するんだろうか (スコア:2, 興味深い)
最初は「3月9日22時頃改ざんされた」とか言ってたはずだけど、
それだと、今回の発表とつじつまが合わない。はっきり言って
うさんくさい。
Re: (スコア:0)
同じこと考えました。
一体全体何が本当の事件なのやら。
Re: (スコア:0)
刑事告訴するいうてるから存在するやろ
Re: (スコア:0)
実際に告訴するまでは存在が分からないシュレーディンガーの元従業員です
Re: (スコア:0)
刑事告訴は被疑者不詳でいいんじゃね?
充分反省していることが確認できたとして、民事訴訟は起こさず和解したことにすればいい。
Re: (スコア:0)
「IDやパスワードを知っていた」「嫌がらせ目的」といった具体的なことまで掴んでいる以上実行した元社員は特定できていると思われるけど、誰がやったのかわかっているのに被疑者不詳で告訴ってありうるの?
そんなのを警察や検察が受理するかな?
Re: (スコア:0)
そもそも不正アクセス禁止法違反は親告罪ではないのだから理論上は誰でも(告訴ではなく)告発できるのでは。当事者以外だと起訴するのに十分な証拠を提供できなそうだけど
Re: (スコア:0)
存在自体が疑わしいが、
仮に実在したとして、仮にIDやパスワードを変更してなかったとして、
いったいどうやってその元従業員がアクセスしたことを証明したんだろう?
そんな杜撰な管理体制の会社なら、IDとPASSも全員で共通にしてたんじゃね。
一人ずつ個別にしてたのなら、退職した社員のIDをそのままにはしないだろう。
共通IDでアクセスされたとしたら、それがその社員がやったと証明するのは
難しそうなんだけどなあ。そんな技術があるのに、パスワードを変更する
ことさえしてなかったとか、とっても不可解。
むしろ濡れ衣の可能性が高そうで恐い。本物のブラック企業なら、
会社に不満を持ってる元社員なんてくさるほどいるからね。
Re: (スコア:0)
>いったいどうやってその元従業員がアクセスしたことを証明したんだろう?
つながり社長の文書見るとわかるけど、元従業員が電話で申し出てきたという事になってるよ
Re: (スコア:0)
自主の意味知ってるか?
Re: (スコア:0)
自主 [goo.ne.jp]
他からの干渉や保護を受けず、独立して事を行うこと。
Re: (スコア:0)
2020年3月12日 07:47:41 GMTにGoogleにキャッシュ [archive.org]されている都築祥子(株)つながり [twitter.com]というアカウント [archive.org]が消されているようだが…。
「私に成りすま
Re: (スコア:0)
改竄騒動と関係ないくらい前からブラック企業という悪評は立っていたようですし、
存在しない犯人に責任押しつけてバックレ?と考えるのは不自然じゃない
Re: (スコア:0)
そう思って見てたら、該当しそうな時期に辞めてた誰かが実際に逮捕されて、でも完全に容疑を否認して、さて容疑・証拠は本物でしょうか? なストーリーでも立つんですかね。
Re: (スコア:0)
最も有耶無耶にしやすいパターンになっていますしねえ(社内の問題かつ今すぐ何かするということも無い)。
このまま民事裁判もやらず、社長も「やっぱり続投します」で何事もなくフェードアウトできるような文面になっているみたい?
刑事裁判はどうなるかな。警察に行ったのが本当なら、半自動的に刑事裁判まで行っちゃいそうだけど。
セキュリティ管理の徹底と言うのは簡単だが……… (スコア:0)
本当に強固になっているか、レッドチーム呼んで実証してくれないと信用ならない。
と言っても国内でレッドチーム運用までやっているのってセキュアワークスぐらい?
と思ったら、結構やって [bcm.co.jp]るね。