セキュリティ企業ラック、元従業員がフリマで売却した私物HDD内に取引先情報が 59
ストーリー by nagazou
危機一髪 部門より
危機一髪 部門より
情報セキュリティ企業ラックで、元社員の私物HDDが第三者に売却され、社内文書や個人情報が流出しかけるというトラブルが生じていたと報じられている。HDDを購入した人物が善意で同社に通報したため情報の流出はなかったとのこと。このHDDは元社員がビジネス文書等を個人所有のハードディスクに保管、その後HDDをフリーマーケットで売却していたという。中には業務上のビジネス文書約2000件と最大約1000件の個人情報が含まれていたとしている。同社は「情報流出事案」として14日午後、情報流出の経緯と概要についての発表を行っている(ラックの発表、朝日新聞その1、朝日新聞その2)。
あるAnonymous Coward 曰く、
あるAnonymous Coward 曰く、
ラック子会社のネットエージェント(現在はラックに吸収合併)がブロードリンクの事件を受けて「意外と難しいデータ消去」と題したブログを公開していたのは何とも皮肉な話である。
えっ (スコア:2)
HDDを購入した人物が善意で同社に通報したため情報の流出はなかったとのこと
それ、既に情報が漏洩してるよね?
外部に持ち出されたわけだから。
Re: (スコア:0)
LACのニュースリリースには「当社より流出した過去の情報について」とありますので、どこかで「流出」の流出があったようですね
Re: (スコア:0)
ラックの発表にも朝日新聞の記事にも「流出はなかった」なんて書かれていないのでこれは流石にTypoじゃすまされないね。
Re: (スコア:0)
自分だったら買ったHDDにデータが入っていても面倒だからフォーマットして使っちゃうけど
正規に売られたものでなく、盗品が回り回ってフリーマーケットに出てた可能性もあるのか。
まあ、その場合でも善意の第三者だから法に触れることはないはずか。それ以前にHDDは消耗品だから
中古を買うとかありえない気もする。
しかし、内容について通報とかゆすり扱いされそうだし、よくやったなあ。
この通報をしてくれた人にはなにか報奨金的なものが支払われたりしたのかな。
Re: (スコア:0)
タレコミ [srad.jp]段階では「情報セキュリティ企業ラックの元従業員がフリマサイトで売却した私物HDDから取引先情報流出」だったのにどうしてこうなった……
Re: (スコア:0)
タレコミにtypoがない場合、typoもしくは論理反転を入れ込む。
いつもの編集のお仕事ですよ。
Re: (スコア:0)
それ、既に情報が漏洩してるよね?
そのとおり口封じに失敗しているため公に(違
ネットエージェント (スコア:0)
かつてWinnyやShareの解析をして売名してたから、今でもACCSやJASRACと並んで一部の人たちの敵になってる名前だ
Re: (スコア:0)
JASRACは「ただで使わせろ~」とか「透明性のある分配をしろ~」とか文句を言う人がいるのは否定しないけど
ACCSってそんなに目の敵にされてたっけ? …officeさんの親衛隊とか?
# そうか、目の敵にされるのが嫌で杉浦さんはネットエージェントを出てハッカー協会を立ち上げたのか(たぶん違
Re: (スコア:0)
今でもACCSのサイトはwww2サブドメイン使ってるんだね
いい加減に戻してもいいんじゃねーのって思う
元社員の私物HDDが第三者に売却され (スコア:0)
盗まれて勝手に売られちゃたのかと思ったよ
元社員が私物HDDを第三者に売却したんだよね
てにをは……
流出は2017年までのデータ (スコア:0)
> 確認されたファイルは、2003年~2017年の間に作成されたものでした
最低でも5年ぐらい前までは私物のPCへ自由にデータコピーして持ち出せるようなセキュリティで運用してたってこと。
仮にもセキュリティを謳う企業、しかも「34年セキュリティのパイオニアとして業界をリードしています [lac.co.jp]」って企業でそれはどうなの・・・
Re: (スコア:0)
中心にいる古参企業だからこそ実質お咎めなしで逃げることができるという、某プライバシーマークみたいなことだったりして。
お粗末なリテラシー (スコア:0)
ディスクワイプどころか論理消去すらマトモに行えてなかった、ってこと?
原因は、当社の元社員が業務用PCの入れ替え時に、ルールに反し業務データのバックアップを個人所有PCハードディスク上に保存したことです。
から察するに、ルール「だけ」教育してそれでよしとしていたのだろうな
Re: (スコア:0)
専業ベンダでもこの有様、データ保護の観点において、従業員の統制は非常に難しいに(いったん)尽きる。
Re: (スコア:0)
専業ベンダでもこの有様、データ保護の観点において、従業員の統制は非常に難しいに(いったん)尽きる。
原因の根本によりますね
・個人所有PCハードディスク上に保存できるシステム仕様
・個人所有PCハードディスク上に保存できる運用仕様
・個人所有PCハードディスク上に保存しないと回らない運営仕様
# たいてい根本原因はないものとして繰り返される
Re: (スコア:0)
個人所有のHDDを接続できるとか業務データのバックアップ領域が用意されていないとか。
Re: (スコア:0)
私物だからワイプしなかったんでしょうかね。
ていうか辞めてるならもういいやでずさんだった可能性。
Re: (スコア:0)
朝日新聞によると
だそうで、論理消去はしていたものの、ワイプまではしていなかったんでしょうね。
Re: (スコア:0)
論理消去でデータの実態も消えると思ってる時点でちょっとどうかと思うわ
まあ基本中の基本すぎて会社でも教えないだろうけど
Re:お粗末なリテラシー (スコア:1)
HDDって1度上書きすれば現実的な手法ではデータ復元不能なんだけどね。
これが「セキュリティ屋さん」は極めて稀なケースを想定してGutmann方式だとか
必要以上に手間を強いるものの現場はやってられんとルールが破られる状態が常態化して、
結局は最低限すら守れない元も子もない事態に陥る。
Re: (スコア:0)
> 1度上書きすれば
これに時間がかかるってことを知らない人が多い。だから「クイックフォーマットで一度上書きした」なんて思ってしまう
Re: (スコア:0)
SSDだと専用コマンドで一瞬で消えるから、びっくりしちゃうよな。
Re: (スコア:0)
Secure Erase、マッピング情報が全部飛んで事実上読めなくなるとはいえブロック単位での読み取りは出来てしまうんではないかと疑ってしまう
暗号化+Secure Eraseじゃあ不安が残るかなあ
Re: (スコア:0)
現実的な手法ではデータ復元不能
や、専用のハードを利用すれば復元可能なわけで。
データの消去という運用負荷を現場に押しつけるから破綻するんじゃないの?
専用のツールなりハードなり用意すれば放置で済むのに。
Re: (スコア:0)
っつか、クリーンルーム持っててレーザで読み出すような機材用意するコスト掛けられる物好きなんてほぼ皆無じゃん
前所有者が社会的影響力の大きい人間だと分かってればともかく、オークションで落札したようなHDD相手にはやらない
あと専用ハードはHDD破壊するしツールは時間かかるのは同じなので無意味
Re: (スコア:0)
それをやるのがアレゲ(?)
Re: (スコア:0)
クリーンルーム持っててレーザで読み出すような機材用意するコスト掛けられる物好きなんてほぼ皆無
元コメには書かなかったけど、うちみたいな個人/零細なんかにまでそんなコストかけるわけないと油断していたのが標的型攻撃ですよ。
自分のみに対するコストならともかく、数さえ出せば按分されるので油断は良くないです。
あと専用ハードはHDD破壊するしツールは時間かかるのは同じなので無意味
それを業務の片手間ではなくきちんと専用職として定義しろというのが読み取れませんでしたか?
Re: (スコア:0)
まあ基本中の基本すぎて会社でも教えないだろうけど
セキュリティの肝はその基本中の基本を徹底できるかにあるのにね
Re: (スコア:0)
もう時効と思って、ここだけの話、中古ショップから買ったHDDが消去不良だったことがある。
何個もそこで買ってて、消えてなかったのはその個体だけだ。選択的に、そいつだけ消さなかったとは到底思えない。
おそらく、消去途中で止まったやつが、消去完了扱いで すり抜けたんだと思う。
消去状況と動作状況を見るため、買ったドライブはセクタ ビューアでざざざーっと流し見するので、そこで発覚。
ということは、ショップでも同等の手順を踏めば、このエラーは防げたと思う。
なお、内容は見た感じで圧縮済ストリームだったはず、幸い誰にも実害はなかった。
ラックという企業の質 (スコア:0)
一昔前(20年くらい前?)はラックから来るエンジニアはだいたい優秀だったんだが、最近はどうもゴミが増えた気がする。(個人の感想です)
採用基準を緩めたのか?まともに社員教育やってないのか?
Re:ラックという企業の質 (スコア:1)
本当にセキュリティをやりたい優秀な人はごっそりイエラエに引き抜かれちゃったイメージがありますね
今のラックは官公庁や大企業相手のSIerみたいな立ち位置なんじゃないかと
Re: (スコア:0)
まさにそういうのしか見たことないからイメージ悪いけどなぁ
Re: (スコア:0)
しかも高い。
同じような値段払うならNRIとかの方がいい。
Re:ラックという企業の質 (スコア:1)
Re: (スコア:0)
採用基準を緩めたのか?まともに社員教育やってないのか?
ラックですから不足しているんでしょうねぇ(違
Re: (スコア:0)
20年前だとヨタロー君とか☆優秀☆なスタッフが居ましたねぇ
会社の器の大きさに感動した覚えがあります
運がなかったね (スコア:0)
ラックだけに
Re: (スコア:0)
LuckがLackなラックですみたいな?
Re: (スコア:0)
歌丸「山田君、ラックさんの座布団三枚取っとくれ」
Re: (スコア:0)
腹黒「おい山田、じじぃの毛も3本抜いておけ!」
>その後の通報者とのやり取りの結果、12月17日にハードディスクを回収 (スコア:0)
そのまま消去して使えば良かったんでは?
善意とはなっているがそのままフォーマットして使わなかった点からして悪いことを考えたんだろうね
データサルベージして脅すネタで金を引っぱっるのは手口の基本
この手の不祥事?に会社はいくら出すんだろうか?
5年前の業務上ビジネス文書とはいえ、色々面白そうな公にできない情報だったんだろうなw
Re: (スコア:0)
通報者と弁護士通じて守秘義務契約した的なことまで公表してるところを見ると色々あったんだろうね。どれくらいふんだくったんだろう
Re: (スコア:0)
一応動作しますと書いてあったのに、実はあとからあとから不良セクタがゴロゴロてなことは多々ある
中古のディスクを買ってきたら、ざっとでいいからサーフェススキャンは基本
Re: (スコア:0)
はぁ?何いってんのあんたw
中古だから当然チェックはするだろうし問題ないなら物理フォーマットって流れだろフツー
それを、おやゴロゴロ何か入ってるぞ?でぶっこ抜いて会社から金を引っ張るだけ引っ張んだろーが
Re: (スコア:0)
実際にそこまでできるかな、餌データ入れて泳がせる手口もあるだろうしな~。
それと、真の意味で物理フォーマットってのは、ちゃんとした環境じゃないと怖いぞ。
昨日買った中古のiPad ProにSIMが入ってた (スコア:0)
なんか電話番号が登録されているから嫌な予感してたけど、
この記事読んで気になってSIMスロット確認したらSIMが
入ってた。明日店に電話してみるか、面倒くさい。
消し忘れ (スコア:0)
といえば昔はラブホで録画されたエロ行為の映像を指したもんだが
ビジネス文書か。つまらんなあ。
Re: (スコア:0)
ワシはHDDを廃棄する際に、恥ずかしいメールを復旧されないように無修正エロ動画を目一杯コピーした上で消去、廃棄しているから根気強く探してみたまえ。
ペネトレーションテスト関連は? (スコア:0)
ラックの業務関連の文書となると、ペネトレーションテストの報告とかが混じってんでないの?
部外者に見られたとなるとめっちゃ危険なやつ。