パスワードを忘れた? アカウント作成
15307059 story
情報漏洩

ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 24

ストーリー by nagazou
40万人分の流出を隠し通そうってのは 部門より
自動車用品などを手掛けるユピテルは7日、同社の会員サイト会員サイト「My Yupiteru」が2017年10月にサーバが不正アクセスを受け、約52万件分の個人情報が外部に流出していたことを発表した。流出したデータは住所、氏名、性別、生年月日、電話番号、メールアドレスで、退会済みや入会途中のデータも含まれていたという(プレスリリース, ITmedia)。

ITmediaの記事によると、不正アクセスから3年以上も経過後という異例の状況で発表されたのは、当時の調査では不正アクセスはあったものの、個人情報がダウンロードされた痕跡は認められないとの結論に至ったためだったとしている。

ところが2021年5月になってから、犯人からと思われる「2017年末にサーバをハッキングし、顧客情報を持っている」との脅迫メールが届き、実際に流出されたデータを確認できたことから公開に踏み切った模様。要求金額については明言を避けたものの、「かなりの金額」であるとしている。

あるAnonymous Coward 曰く、

金額を支払ったかは報じられていない。発覚時点で公表すれば大きな問題にならなかっただろうに、こういう会社は結構ありそうである。

  • by Anonymous Coward on 2021年06月09日 12時35分 (#4047363)

    情報漏洩すると必ずと言っていいほど

    「個人情報がダウンロードされた痕跡は認められない」
    「個人情報が悪用された痕跡は認められない」
    って発表するけど、まったく言い訳にもなってないよな。

    仮に盗まれた情報を悪用されたとして、訴えても「当社から漏れたとは認められない」などと言い張るんだろうな。
    そろそろ盗まれた側にも罰則する法を作ってほしい。

    ここに返信
    • by Anonymous Coward on 2021年06月09日 13時23分 (#4047397)

      いや、そういう発表をする企業はまだ良い方。
      ユピテルがアカンかったのは、不正アクセスが確認できたのに、その事実を公表していなかったところ。
      つまり、「個人情報がダウンロードされた痕跡は認められない」と述べてすらいなかった。
      もし2017年のうちに発表されていればユーザーは自衛できたかもしれないのに。
      言い訳にもなってないってのは、今回のようなことを言うんやで。

      • by Anonymous Coward

        ユピテルのアカンのは商品が悉くビミョーなところ。
        かゆいところに手が届きそう見せてやっぱりかけないってコンセプトはそろそろどうにかしてくれよ、と。

    • by Anonymous Coward
      罰則するってなんですか?
      • by Anonymous Coward

        誤字脱字にも罰則が必要ですね

    • by Anonymous Coward

      悪魔の証明を求めてるの?

      ダウンロードされた痕跡は認められない
      =アクセスログが消されているまたはログが解析困難・保存されていない

      個人情報が悪用された痕跡は認められない
      =現時点で犯行声明は届いていないし悪用された様子もない

      当時でも特に会社側が嘘をついているわけじゃないんだろうし、それ以上を保証するのは不可能だろ。
      もし自分の個人情報が漏洩されたところで「会社側が分からないこと」を無理やり答えられても意味ないし、実際に悪用が認められた時点で改めて発表してくれればいい。

      • by Anonymous Coward

        ユーザーは漏洩を知らされてなかったんだぞ。対処しようがないだろ。

      • by Anonymous Coward

        「情報が漏れているかどうか我々に確認する能力がありません。皆さんは漏れたと考えて行動してください」
        とじたばた悪あがきせずはっきり言いなさいということでは?ここにいる人は言われなくてもそう解釈する人ばかりだと思うけども。

        • by Anonymous Coward

          不正アクセスを公表してなかったんだから、それ以前の問題。

    • by Anonymous Coward

      個人情報保護法って知ってる?
      5000件以上なんでもちろん対象下だし、GDPRと同じ感じで、監督機関からの指示に従わない場合は罰則もあるよ。
      2022年から罰則強化で不正アクセスを検知してから原則60日以内に監督機関と漏洩した本人に通知しないと最大1億円の罰金だ。

      これを超えて盗まれた時点ですべからく罰して欲しいってことかな?
      そうなると重要情報はすべて手書きの紙管理に戻るから退化しちゃうけど、今のビジネススピードで大丈夫かな?

      あと、「認められない」=「確認されていない」=「まだ自分の手元には(悪用されたという情報は)入ってきていない」ってだけなので感情抜きにすれば言い分としては十分正しい。
      で、今回は「確認できた」=「手元に入ってきた」ので発表したと。

      • by Anonymous Coward

        日本はもう、IT後進国だからスピードよりも信頼性を取るべきだよ。
        一昔前ならスピードも信頼性も両方取ってたけど。

        • by Anonymous Coward

          ITだけじゃなく本当の後進国になりますよ。いや、もうなっているけど、紙レベルまで戻すとベトナムよりも後退する形になりますよ。

        • by Anonymous Coward

          それは二者択一じゃない。
          両方取るか両方捨てるかしかないよ。

      • by Anonymous Coward

        漏洩させても国からの是正勧告に従えばいいだけ。
        勧告に従わなくても刑事罰的には6ヶ月以下の懲役又は30万円以下の罰金刑で済んじゃう。
        個人情報を盗られて取り返しがつかなくなった被害者が何百万人、何千万人いたとしても。
        民事的に賠償を求めようにも個々の被害者個人では動きにくいから足元見られてる。
        漏らした企業は紙ベース業務に戻されるくらいの不利益を覚悟して欲しいところ。

        ろくに調べもせず、調べてないから見つからないことを「確認されていない」ってことにしてほとぼりが冷めるのを待ってるだけのケースが多いんじゃないかね。ヘタに調べて見つかっちゃったら損しかしないしね。
        自分の情報が悪用されたって人が出てきたらバレるけど、自分の情報が悪用されてるかどうか、その原因が漏洩によるものかどうかなんて個人では簡単には調べられないし。

        • by Anonymous Coward on 2021年06月09日 15時39分 (#4047533)

          まず、「従えばいいだけ」の状況にしとかないと報告する来なくなるよ。
          報告すること自体に不利益が生じるようになったら、漏洩してようがそれがバレようが口笛吹いていた方がましってもんだ。
          それこそシラを切りつづける方がよっぽど利益が出てしまう。そんな状況がお望みで?

          それは置いといて、「30万円以下」の部分は、2022年の法改正でに法人の場合は罰則が「1億円以下」に変わるし、
          漏洩したした本人への通知が必須になるので自分の情報が漏れたかどうかわかるという部分では改善されますね。
          https://keiyaku-watch.jp/media/hourei/kojinjyouhouhogohouishohou202101 [keiyaku-watch.jp]

          不利益については、刑事罰受けると与信会社が察知するので取引先がまともな会社なら途端に買掛与信通らなくなるし、
          当然株価も下がるし、銀行も手形引き受け拒否したり金出さなくなるから、
          国もつぶせないレベルの超大企業でもない限り、ものすごく不利益あるぞ。
          #替えが効かない超大企業の場合は、まぁ、ね。

          • by Anonymous Coward

            報告したらそこそこ重い罰、隠したら死ぬほど重い罰にすればいい
            ミスで漏れたんならネットに広まってそのうちバレるし、盗まれたんなら報告してないことをネタに脅迫されるだろうしな
            なんで0か1かの発想になるのかねぇ

            漏洩したことを通知されても被害者側には救いにもなんねえなぁ
            「通知はしましたよ、悪用されたかどうかは自分で調べてね」ってなもんだし、どーせ個人では調べようがないから補償もしなくてヨシッ!ってたかくくってんだろうな

            法に触れなくても企業がミスしたら不利益を被るのは当然であって、刑事罰が軽いんじゃ法に触れた重みがないよなあ
            罰則が最大1億円ってのを強調してるかが、漏らちゃった後の措置命令に従わなかった場合の話だし。
            個人情報を漏らされた被害者側の人権を軽視してるよ

            • by Anonymous Coward

              で、結局どうしてほしいわけ?

              罰則を強化したところで漏洩が防げるわけでもないし被害者には何も起きないけど、不正アクセスや漏洩が起きたら必ず被害者に補償金を渡せってこと?
              先に補償したらその後の被害がどうあれそこで「手打ち」になるけどいいの?(補償済だから)

              そして、必ず補償の場合、会員登録しておいて足がつかないように不正アクセスするやつも出てくるだろうし、それ狙いで不正アクセスが増える可能性だってあるけど、それはどう防ぐの?

              • by Anonymous Coward

                多分、経済に関わってない人なんだろうね
                金は富裕層から一方的に与えられるものって発想だから、「富裕層の揉め事はそっちで解決してくんね?」位にしか思ってない
                決定権が無い、決定権のある立場に立った事がない、立とうとした事も無いし立たせてやろうという人も周りに居なかった
                そういう人なんでしょう

                そういう人と世の中動かす人が出会っちゃうと
                「え、君が動かさなきゃ世の中動かないよ?」「え、世の中の方が俺を無理矢理動かしてくるんじゃないのか?」ってスレ違いが起こる

    • by Anonymous Coward

      一応ツッコむが「情報漏洩すると」じゃなくて「不正アクセスを受けると」な

      で、情報漏洩したらおおむねそのまま発表するから「痕跡は認められない」とは言わないし、痕跡がなかったら「痕跡がない」ってしか言えないだろ

      あなたみたいな人は、第三者がデータで示しても「そんなのいくらでも改ざんできる。都合のいいように発表できる」っていって結局聞く耳持たないんだろうな
      「信用できない」のではなく「信用する気がない」だけ

  • 本当か?

    最近は情報漏えいしても対象者に500円ばらまいたりしてないよね。
    請求すりゃもらえるのか?

    ここに返信
  • と思っている情シスの人も多いと思う。

    制限を多くすると、文句が増えるし。

    なかなか難しいと思うんだけれど。

    ここに返信
    • by Anonymous Coward

      今回のはランサムウェアに引っ掛かったわけではないやろ
      単にサーバのセキュリティが甘くて情報漏洩したって話だから個々人のIT能力の高低は関係ないオフトピ

      強いて言うなら、ランサムウェアに引っ掛からないようにすることは難しいので
      引っ掛かってもバックアップなどから業務が継続できるようにしておくこと

      • by Anonymous Coward

        ふるまい検知をちょっと過剰気味に入れとくことでもある程度防げますね。
        アンチウイルスソフトによっては改ざん検知したらプロセス削除+VSSからロールバックみたいなことはできます。

  • by Anonymous Coward on 2021年06月10日 19時44分 (#4048520)

    昨年5月に東京都内の自宅マンションで死亡した女子プロレスラー木村花さん=当時(22)=を会員制交流サイト(SNS)で誹謗中傷したとして、警視庁捜査一課は5日、侮辱容疑で高知県の男性=海 老 川  奨を書類送検した。SNSで木村さんを中傷した投稿者の書類送検は2人目。
     容疑では、昨年4月8日、匿名で木村さんのツイッターに「〇ねや、くそが」「きもい」などと4回書き込み、木村さんを侮辱したとされる。

    海 老 川  奨
    7815235
        高 知 県 香 南 市 野 市 下井
    1077

    ここに返信
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...