【反安倍 闇のあざらし隊】萩原栄幸の情報セキュリティ相談室： セキュリティ会社元社員の個人情報流出事件の疑問点 ［11/13］

1 ：◆CHURa/Os2M＠ちゅら猫φ ★：2015/11/13(金) 21:42:04.43 ID:???

★萩原栄幸の情報セキュリティ相談室： セキュリティ会社元社員の個人情報流出事件の疑問点
F-Secureの元社員がネット上で多くの個人情報を流出させたと騒ぎになった。セキュリティの専門家としてこの出来事で疑問に感じた点を挙げてみたい。

にわかには信じられない事件が起きた。セキュリティ会社として世界的にも有名なF-Secureの元社員
（事件後に退職）が、信条的に「気に食わない」人の意見に対し、これに「いいね」を投票した一般の人の
個人情報を故意に流出させてしまったというものだ。

この事件は様々な意味で興味深く、また今後も事態が変わるかもしれない。
事件の底流には現代社会の混沌とした部分や様々な思想、視点によって違う正義などが流れ、
複雑化しているようにも思う。今回はセキュリティの専門家としてこの出来事に感じた疑問を挙げてみたい。

事件の経緯は様々なところで報じられているので割愛するが、疑問点は大きく
（1）流出情報の入手方法、（2）会社側の対応――の2つになる。

■疑問点1：どうやって情報を入手したのか

実は、情報を流出させた元社員とはある団体で何度か話をしたことがある。ご本人は覚えていないと思うが、
ユニークな性格の方だったと記憶しており、その彼が事件を起こしたと聞いて驚いた。どうしてこういう行為に及んだのかは、
本人にしか分からないだろう。ただ、セキュリティ会社の中核を担う社員であり、こういう行為をすることの恐怖は人一倍
理解しているはず。本当に残念でならない。

元社員は個人情報をどうやって入手できたのだろうか。このようなことができると思われる裏ソフトは幾つか存在し、
Facebookのセキュリティが完璧ではない（セキュリティ自体に完璧はないが）こともある。
しかし筆者は、特定の「いいね」をした人の個人情報を簡単に、数百人レベルで入手できる術を知らない。

ピンポイントで特定個人の情報を晒すことは、時間さえあればある程度できるだろうが、セキュリティ業界に身を置く人は、
まずそういう行為をしないと筆者は思う。過去の実証実験を除けば、個人的な目的でそういう行為に及んだ人を、
少なくとも筆者は記憶していない。そこで考えられるのは次の4つの可能性だ。

１．F-SecureとFacebookとセキュリティ面で業務提携しているため、その関係者として情報を入手する術を知っていた？
２．F-Secure社内にセキュリティの脆弱な部分があり、元社員が密かに情報を入手していた？
３．単純に元社員にスキルがあった？
４．元社員に個人的な人脈があり、そこにつながる人間が関与していた？

まず可能性の（1）、（2）についてF-Secure側は否定をしているので、その真偽を知る術はない。
ただ、そもそもピンポイントかつ、「いいね」をした全員を狙ってその個人情報の入手を「実行できる」ということは、
論理的にFacebook全ての加入者の任意の個人情報が入手可能ということになる。これ自体が非常に脅威であると筆者は感じている。

■疑問点2：会社側の対応

F-Secure側の対応にも疑問を感じるところがある。事件後に少なくともネット上では大きな問題に発展してしまい、
事業にも大きな影響を与えかねない状況から、通常なら記者会見が行われる。それが1つもなく、しかも本人が退職したことを公表してしまった。

本来であれば、まず事実の確認や対応策の目途がつくまでは本人が社員の立場にないと、
会社にとって不都合な状況となる。だが、全くそういう経緯が明らかになっていない段階で退職を認め、
「既に社員ではない」と公言している。

これが極めてまずい対応であるのは、同社の説明を聞いた人たちの反応を見れば、明らかだろう。このままでは、
日本からの撤退を含めた極めて危機的な状況へ陥ることになりかねない。それが現実になる可能性が出てきてしまっている。
少なくとも信頼回復のためのでき得ることのすべてを講じていくはずだが。

この事件が今後どのように推移するのかは定かではない。元社員が行為に及んだことの分析もなされていくかもしれない。
ただ、どんなに不快な表現でも、それに「いいね」をした人の個人情報をさらして相当な被害を出したことそのものは誤りである。
セキュリティの世界に身を置く筆者としては何その推移を見守るしか術もないのだが……。

http://www.itmedia.co.jp/enterprise/articles/1511/13/news044.html

2 ：◆CHURa/Os2M＠ちゅら猫φ ★：2015/11/13(金) 21:42:11.84 ID:???

関連スレ
【反安倍 闇のあざらし隊】エフセキュア（株）最終報告「Twitterのアカウントが元従業員だとは特定できず」「本人は依願退職」「情報流出あるなら提供を」
http://ai.2ch.sc/test/read.cgi/newsplus/1447418458/
【反安倍 闇のあざらし隊】還暦近いオッサンが“しばき隊” 千葉礼子に執拗に送った「ぱよぱよちーん」で身元特定される [11/09]
http://ai.2ch.sc/test/read.cgi/newsplus/1447076480/
【反安倍　闇のあざらし隊】しばき隊による「個人情報晒し」騒動、セキュリティ会社が調査結果発表　渦中の人物は退職 ［11/09］
http://ai.2ch.sc/test/read.cgi/newsplus/1447053796/
【しばき隊】ツイッターに400人以上の個人情報晒す　勤務先のセキュリティ会社が調査、謝罪 [11/06]
http://ai.2ch.sc/test/read.cgi/newsplus/1446751251/
【反安倍　闇のあざらし隊】「ぱよぱよちーん事件」でエフセキュアがお詫び　日本スマートフォンセキュリティ協会にも飛び火？ [11/05]
http://ai.2ch.sc/test/read.cgi/newsplus/1446704696/
【反安倍 闇のあざらし隊】Facebookではすみとしこさんに「いいね!」した人の個人情報433人分をネットに晒して炎上〜F-Secure社マネージャか [11/04]
http://ai.2ch.sc/test/read.cgi/newsplus/1446609648/

3 ：名無しさん＠１３周年：2015/11/14(土) 04:32:32.61 ID:QFjxPyE9m

ぱよぱよち〜ん

4 ：名無しさん＠１３周年：2015/11/14(土) 19:15:36.32 ID:hQKhTmstd

はすみ としこ @hasumi29430098

お久しぶりです。
まだ本の執筆は途中ですが、ようやくピークは過ぎました。
徐々に通常運転に戻れそうです。
ぱよちん事件の被害者におかれましては、事の発端が私にある点について心からお見舞い申し上げます。
ぱよちん事件は風化させてはいけません。
https://twitter.com/hasumi29430098/status/665414393644122112

今後作品の投稿は、ネタと時間があれば随時投下していく予定です。
皆様本当にありがとうございました。
また頑張りますのでよろしくお願い致します。 ^ ^
https://twitter.com/hasumi29430098/status/665414488666021888

5 ：名無しさん＠１３周年：2015/11/14(土) 21:36:28.29 ID:44mWPJErP

軍事侵略国家である韓国が盗聴しているのがLINEだけかと考えればわかりそうなもの