自分で答え合わせをしていくスタイルwwwwwwwwwwwwwwwwwwwww
おっかしいなぁ、ぱよちんの住所知ってる奴は好きなだけ他人にそれを教えていいはずだろ?wwwwww
沙耶です。ぱよちん事件がアホすぎて最低です。
【速報】 エフセキュア社 「続報です。不適切SNS利用とされる社員は退職しました」
んー。クビっつか依願退職か自主退職だな。かなり手ぬるい。これだけしでかしていると普通は懲戒解雇だが。
さて。
エフセキュアいわく、自社情報は用いられていない、とのことだ。信じますか?
これを信じる、ってことは情報流出したのは該当社員によってFacebookがクラッキングされた、ということになる。だってFBの設定変えてたわけだし、少なくともログイン情報を軒並み抜いた、ということだ。
方法論としては二つくらいしかないよね。トロイの類で感染者から抜くか、FBをクラックするかのいずれかだ。
セキュリティ会社の社員がクラッキングを行ったことは明白である、ということになってしまう。
これで自主退社、じゃあまりにも軽い判断だといわざるを得ない。
しかもFBのセキュリティはザルですよ、と言い放ってるのと変わらない。
さてさて。この手のセキュリティソフトってのは基本的にPCと外とのすべての通信に介入する一種の透過Proxyとして働く。それはつまり、これ自体が情報を取得しようと思えば、当然トロイと同様にすべての通信の内容を傍受することができる。それは暗号化されてようがなんだろうが解ける。だって暗号化のキーそのものにアクセスできてしまうからね。
普通に考えて、”極右の狙った人だけを特定のウィルスに感染させた”と考えるのは無理がある。そうなると、FBをクラックした、ってことになってしまうんだが、そんなことになってたら最初にFBのアカウントが非公開から公開に変更されている時点でFBが大々的に停止する。
つまり、FBへのアクセスは”正当なアカウント認証を通過して行われた”ことになる。
これでF-Secureの製品の持つ秘匿通信情報が関与していない、と考えるほうが無理がある。
「エフセキュアでは、今回公開されたとされるリストは所持しておらず、内容も確認致しておりません。 」
これは一切の確認作業を行っていない、ということに等しい。もちろん、F-Secureとしては自社設備に製品からの情報のフィードバックを得ていない。ということになっている以上、当然それを見たところで照合すべきデータは自社にはないのである、という論理なのだが、では久保田君が一体どこからそれを入手したのか?という疑念は付きまとう。
もちろん、これを解消するのはF-Secureの義務ではないのだが、これを解消しない限り、F-Secureのお漏らし疑惑は解けない。解消しない、というジャッジメントは、この疑惑を受け入れるという答えにほかならず、「解消しないけど僕を信じて!」という結果にはならない。
こうなってくると、本来はF-Secureがとるべきであった行動は、ぱよちんに対する懲戒解雇と特別背任による刑事事件化だったはずなのだが、これを避けた、ということはつまりは警察の手が入って調査されては困る何かがある、と第三者的には判断せざるを得なくなる。
まして自主退職ともなるとまったく信用ならない。
まとめによってはこれをF-Secureの土下座といってるとこもあるけど、沙耶はまったくそうは思わない。これは、何も謝罪していないし、何も解決していない。
エフセキュア株式会社様、HPから急遽「主要取引先」の項目を削除する。ソフトバンクなど
で、こういう動きに入る。まあ隠蔽なのか取引停止を要求されたのか、それとも記載されていると体面が悪い、ということで取引先から消すように要求されているのかは知らないが、少なくともそのレベルで信用情報が汚染されたわけだ。
普通ココまで行ってたら完全に背任レベルだと思うのだけど、F-Secureは動かない。
まあ消えた企業に向けて「F-Secureを利用しているのですか?」って問い合わせればいいんだろうけどねw
そして、こうなる。
【悲報】地方議員「F-Secure社はもう入札に参加させない」 会社に莫大な損害発生か
地方議員程度じゃそんなに損害は無いと思うけど、ESETは一時評判よかったからね。
とはいえ、リテラシ高めの担当者のとこが今後F-Secureを採用することはたぶんない。逆に言えば、採用しているとこのリテラシはその程度だといえる。
この人の記述の、「話す必要がない理由」をきちんと誰もが読むべきだ。特に、各企業の情報リテラシを担当する人間は、きちんとこれを理解できているべきだ。
情報セキュリティにおいて、”疑われる”ということ自体がもうアウトなのだ。
それはアウトではあるけど、まだ取り返せるアウトだ。
3アウトチェンジじゃなくて、まだワンナウト。
でも、F-Secureはそれに上乗せした。
すばやく対応しなければならなかったことなのは間違いない。
だが、そのための鎮火方法として蓋をするだけ、という方法を選択した。これは、情報セキュリティのキモを預かる企業として、一番やってはならない対応だ。
どんなに技術力があろうが、漏洩した、とされる情報のリストを”照合もせずに”、自社にその情報と同等の情報があるかないかを回答することはできない。
たとえ、自社に個人情報があるDBがないとしても、”リストを手に入れ、それを元に自社の保有情報すべてと比較照合を行った”という”行動”が必要なのだ。
そして、それにかかる時間は少なくとも1日ごときでできるはずがない。それを1日もかからずに答えを出した時点で、ろくすっぽしらべてねぇな、という確信に変わる。
久保田君がイランことをしたときにはまだ、F-Secureは被害者だった。立ち回りさえ間違えなければ、一時的に売り上げが落ちることはあっても、信用情報がそこまで傷つくことは無かった。
だが、彼らはその後自分で自分の信用を破損させた。もはや知ったことではない。この時点で彼らは久保田君の共犯者となった。もはや被害者ではない。
F-Secureがどうなのかは知らないが、個人情報保護法で対象となるのは、5000件以上の非公開属性の個人情報を保有する企業とされている(もれた件数が5000件ではない)。
まあ普通に製品販売してたりすると顧客データとして5000くらいは軽く超えてしまうのが普通なんだが。
さて、もし対象じゃなくてセキュリティソフトによる通信パケットの傍受からもれた場合何が適用されるだろう、と考えると実は適用可能な法制度があまりない。
ひとつは電気通信事業者法による通信の秘匿の侵犯。ただし、セキュリティソフトは通信事業者かというと、それは違う。
もしF-Secureの製品による情報収集やFBとの通信中に特定条件で意図しない設定変更を引き起こすような(たいていのこの手のソフトは外部制御をうけつけるためのバックドアくらいつけてるだろうしね)ことを行ったのだとしたら、あるいはF-SecureがFBから委託された情報セキュリティを逆手にFBのデータから変更した、あるいは引っこ抜いたのだとすれば、不正アクセス防止法か、FBとF-Secure間で締結されているはずの業務委託契約違反かな。
いずれにせよそんなに適用可能な法制度は多くなさそうで、この辺は課題だと思う。
ともあれ、この辺のどれか一個でもセキュリティを標榜する企業が引っかかったら信用がアウトな内容なのは間違いないんだけどね。