ネット広告のオーバーチュアが顧客情報流出するも公表せず 87
ストーリー by nabeshin
鋭意法人作成中 部門より
鋭意法人作成中 部門より
Anonymous Coward曰く、
ネット広告大手のオーバーチュアですが、契約社員が「Winny」を使ってしまい、広告主2万8157件の住所・電話番号・メールアドレスなどの情報を流出させてしまったそうです。
しかし、なぜかこの事実を公表せず、親会社のヤフーの調査で発覚。そしてヤフーも公表には踏み切りませんでした。
そして流出した顧客にのみお詫びメールをおくったのですが、その事実を「公表しないでほしい」と依頼する文言だったそうです。そして当然のごとく、毎日にすっぱぬかれました。IT企業にもかかわらず、顧客がどう反応し、ネットでどう話題になるか、まったく読めなかったのでしょうか? 非常に不思議な気がします。親会社のヤフーが9月以降に実施した調査で流出が判明したが、両社ともに公表しなかった。オーバーチュアの竹尾直章副社長は「流出が明らかになれば、情報がさらに拡散して2次被害を生む恐れがあった。顧客のためには公表しない方がいいと判断した」と説明している。
ウチにも来たけど (スコア:5, 参考になる)
なんて書いてましたっけ?
適当な二次ソースに騙されてませんか?
公開してないことに関する言及は以下の通りでしたよ。
Re:ウチにも来たけど (スコア:4, すばらしい洞察)
でも、Winnyファイル拡散防止サービス [netagent.co.jp]やWinny Rader [fourteenforty.jp]等を使用して、ネットワークからの消失を確認した後公表すれば、対応としては、今後の標準になれたかもしれませんね。
#当然費用は流出させた本人の負担ということも(負担額も含め)公表でw
そのような対応例があれば、業務関係のものに関しては明らかに抑止力になると思いますよ。
Re:ウチにも来たけど (スコア:4, 興味深い)
というのが,今回の件のように私には思われます。
この報道で,野次馬どもがWinnyに群がって,漏出した情報が消えにくくなるんだろうな。風評被害に似たものだろうか。この始末,毎日新聞は,どうつける気だろう?
「IPAの指針」って? (スコア:2, 参考になる)
> 情報処理推進機構)の指針を参考とし、公表を控えるという方針を
> とっております。
これが元の文章そのままであれば、「IPAがWinnyによる情報流出の場合には
公表を控える事を推奨している」様に読めますが、IPAがそんな迂闊な指針を
出すわけないよね。
というか、はっきり言ってIPAの権威をタテに取って「正当な処理である」と
主張しているように見えますね。
この「指針」が
http://www.ipa.go.jp/security/topics/20060310_winny.html
の事を言っているのであれば、そもそもこれは「指針」でもないのですが、
そんな「指針」がそもそもあるのでしょうかね?
Re:ウチにも来たけど (スコア:1)
今日の朝、代理店からOverture情報流出との報告メールがきていました。
ってなことが書いてあったけど、添付されていたPDFはスルーしてしまっていたな。そういえば。
タバコをやめよう、そうしよう そして誰もいなくなったら思い切り吸おう
Re:ウチにも来たけど (スコア:0)
#1252892に意味がないと思わないが、反論するなら的確にしようよ。
タレコミ間違ってるぞ (スコア:4, すばらしい洞察)
○:契約社員が自宅に情報を持ち出してしまい
間違ったら死刑
まあ無いと思いますが (スコア:1, 興味深い)
#そういうのが昔いた所でありました…
Re:まあ無いと思いますが (スコア:1, 興味深い)
Re:まあ無いと思いますが (スコア:1)
だからこそ「契約社員が「Winny」を使ってしまい」が責められるべきことなんですよね。
#違うと思うけど。
Re:まあ無いと思いますが (スコア:1)
> #そういうのが昔いた所でありました…
会社のPCでWinnyを動かしていたとしても、たぶんポート0接続なわけで
そのPCからWinnyへ情報が流出することはないと思います。
外部から見えるPCでWinnyを動かしていたのならばそのPCからWinnyへ
情報が流出すると思います。しかし、それは会社のネットワーク設計にも
問題があると思います。
Re:まあ無いと思いますが (スコア:0)
それとも、あんなデータやこんなデータをゆっくりと鑑賞できる会社なの?
#うらやましい会社や…
Re:タレコミ間違ってるぞ (スコア:4, すばらしい洞察)
自宅に持ち出せちゃったことが問題の根源であり主たる原因なのですよ。
もしかして某クルーの方ですか?
#それとも単に「どこを縦読み?」と言って欲しかったのだろうか…
Re:タレコミ間違ってるぞ (スコア:4, すばらしい洞察)
まずどちらを責めるべきなのかは明白では?
実際はそこまでの割り切りは難しいとしても。
Re:タレコミ間違ってるぞ (スコア:1, すばらしい洞察)
流出は自宅に情報を持ち出した時点で起こっているからです。流出先が大規模かどうかなんて二の次三の次です。
また、「その時点では軽微だから」という理由でこの事実をオブラートに包んでしまう事は将来の為にならないからです。
顧客情報の入った鞄を盗まれなければ、
USBメモリをなくさなければ、
自宅PCのデータを消し忘れなければ、
自宅とやり取りしたメールを消し忘れなければ、
nyを慎重に使ってれば、
「まだ軽微なんだからいいじゃん」
などという意識が最大のセキュリティリスクなんですよ。
# 次点は「本来データがあるべきセキュリティポリシーの守備範囲外に出てしまう事で大規模流出の危険が高まる」という点。
下のコメントで
| 情報を自宅に持ち帰ってた人数 × Winny 使用者である確率
なんて計算してますが、自分としては
1-(人数×(紛失しない確率)×(盗難にあわない確率)×(消し忘れたまま他所に渡らない確率)×・・・他流出可能性の否定の全ての積)
と言いたいところ。これでもまだ
>第三者までアクセスできるほどの規模の流出事故になるわけないでしょう?
なんて言い切れますか、と。
# "人数"が入ってて確率の計算式として変ですがそこは原コメントを尊重
>反原発派が軽微な漏れと炉心溶融と一緒くたにして騒いでるのと同じくらいナンセンス。
その例は確かに自分も思うところがありますが、否定する根拠が「ナンセンスだから」だけなら、それがどうした、命がけなんだからナンセンス上等 とも言いたくなります。
Re:タレコミ間違ってるぞ (スコア:1, すばらしい洞察)
持ち出しの事実が明らかになれば、大変な事態となるはずです。たとえ、何の被害もなくともです。
同様に、顧客情報などの重大な情報が、無許可で持ち出せる事が問題なのではないでしょうか。
>「持ち出した時点で流出で、大規模かどうかは二の次」だとしましょう。するとモラルハザードを引き起こす可能性はないですか。つまり、一旦持ち出してしまったとき「ここでやめても、Winnyに流しても処罰が同じなら、いっそ流してしまえ」と。
モラルハザードの可能性があるからこそ、持ち出しを防ぐべきであると思われます。
仮に不本意な形で会社を退職することになった人物の個人PCに、この手の情報が残っていたらどうでしょう。
腹いせに流す輩がいないと言えますか。
Re:タレコミ間違ってるぞ (スコア:1)
>50km/h,100km/hオーバーと一緒に一発免取りにしますか?
それでは何人の情報が流出するまでは被害規模を無視あるいは軽視できる限度なんだろうね?
一人だと無視できる?
二人だと無視できる?
三人でも無視できる?
四人でも無視できる?
:
(中略)
:
2万8154人なら無視できないほどの被害規模だよね。
2万8155人なら無視できないほどの被害規模だよね。
2万8156人なら無視できないほどの被害規模だよね。
2万8157人なら無視できないほどの被害規模だよね。
さて、あなたはどこで線を引いたのかな?
違うでしょ。2万8157人(件)分の情報を持ち出した時点で被害規模が決定された訳でそれを罰するのは当然だろう?
Re:タレコミ間違ってるぞ (スコア:1)
この前800万件情報流出したとかストーリーになった件も、ほとんど全部が自宅に持ち出しただけだったらしいですが。
あれも別に大したことない事件だったということですかね。それにしては大騒ぎになってたみたいですけど。
Re:タレコミ間違ってるぞ (スコア:0)
でもこういうのは、誰か1人からであってもネットに漏れたらその時点で大ダメージなので、確率的な考え方をする必要があります。
情報を自宅に持ち帰ってた人数 × Winny 使用者である確率
て感じですね。
使用者である確率は会社側からはコントロールが難しいので、自宅に持ち帰る人数のほうをコントロールすることになるでしょう。
それがゼロであれば申し分ない。
自宅に持ち帰ったことが問題にされるのは「そこんとこさえコントロールしてなかったのかよ!!」ってことですね。
公表しないことは保護につながる (スコア:2, 興味深い)
被害者のために、公表しないことを選択するは悪いことではない気がしてきた。
もし、自分が被害者なら、公表しないでほしいと思うかも。
ましてや、かもしあげや祭りが始まるならなおさら。
保護とは別問題 (スコア:2, 興味深い)
過失は公表されて然るべきでしょう。
今回の流出が明らかになっていれば、事故後から今回の報道があるまでの期間の顧客との契約に少なからず影響があるわけで、公表しないというのは信用を偽装しているに他ならないです。
確かに、流出経路を明らかにしない、というのは保護のためには必要かもしれません。
ただ、下手に隠蔽しようとしてマスコミに掴まれたら、「Winnyで流出」なんていう格好のネタは暴露されて当然のようにも思います。
先手を打って謝罪のプレスリリースに「顧客の保護のため流出経路は伏せる」みたいなことを書けば良いのかもしれません(まぁ、おおよそ察せられそうですが)。
Re:保護とは別問題 (スコア:2, 参考になる)
他所で公表されるまで公表しなければ拡散しない確率は上がるのではないでしょうか?
完全にキャッシュから消えた場合は後約1,500秒で存在しなくなるそうですし、
そういった情報に基づいての判断ではないかと思います。公表を遅らせることで運良く消えるかも知れませんから。
そもそも流出といったら真っ先に上がる経路に流れてしまった以上、伏せたら探索祭になるだけで逆効果ではないかと。
Re:保護とは別問題 (スコア:1)
Re:保護とは別問題 (スコア:0)
Re:保護とは別問題 (スコア:1)
だと、どっちかって言うと、株を買った人とかの方が被害者なのかな。。。
Re:保護とは別問題 (スコア:1, 興味深い)
やってることは同じだと思うけど、意識は遅れてますね。
Re:公表しないことは保護につながる (スコア:1, 参考になる)
Re:公表しないことは保護につながる (スコア:1)
かもしあげ? (おふトピック) (スコア:1)
ああ、それでか……… (スコア:2, 興味深い)
「Winny/Shareはインストールされていませんか?」
見たいな事が書いてあったのは………
#当然AC
なぜ、公表する必要があるのか? (スコア:2, すばらしい洞察)
もし、全被害者にきちんと連絡取れた場合には必要ありませんよね?
Re:なぜ、公表する必要があるのか? (スコア:0)
>もし、全被害者にきちんと連絡取れた場合には必要ありませんよね?
関係者は被害者だけではないのです。
公表が云々の話の場合は、出資者=株主にも関係する話だと思います。
Re:なぜ、公表する必要があるのか? (スコア:1, 興味深い)
> 公表が云々の話の場合は、出資者=株主にも関係する話だと思います。
必要箇所に連絡をすることが大事なのであって、公表は大事ではない。
出資者=株主にも連絡が必要ならばそこに連絡が取れればいいだけの話。
公表が目的なのではなく、目的によっては公表することが必要かどうかを考えること大事です。
# マスメディアは公表してもらいネタにしたいだけなんでしょうけども。
# マスメディアに公表してもマスメディアが扱わない場合もあるが
# なぜかそれはマスメディアのせいにはならないこの不思議。
Re:なぜ、公表する必要があるのか? (スコア:0)
Re:なぜ、公表する必要があるのか? (スコア:0)
Re:なぜ、公表する必要があるのか? (スコア:0)
ある。
少なくとも
>全被害者にきちんと連絡取れた場合には必要ありませんよね?
これだけでは、公表しないでいいというコンセンサスを形成するには弱いと思う。
なぜなら、件のウイルスによる影響範囲は個人情報流出だけじゃないから。
例えば、閲覧したものが得をして、閲覧できなかったものが損をする情報の場合、
不当に損をした人間はリストに載っていないが間接的被害を受ける恐れがある。
個人情報にしたって、顧客の中でも実際の被害を受けたグループ、
受けていないグループがあって、過去に関係したけど今はリストにないグループがあって、
そこまで影響範囲を完全に把握できるケースのほうが少ないのじゃないかと。
それと永続的に「情報漏洩は被害者に極秘に個別連絡をする」なら
Re:なぜ、公表する必要があるのか? (スコア:1, すばらしい洞察)
今回は「公表しないでいい」ではなくて、「あえて公表しない」ので勘違いしないように。
> それと永続的に「情報漏洩は被害者に極秘に個別連絡をする」ならば、
> 前もってそういう事態にはこういう連絡が行われる経路を合意しておくことと、
> その情報の信頼性を折り返し確認できる経路を用意しておかないといけない。
公表はあくまでもひとつの連絡方法にすぎないので、公表したことで他の連絡方法をまかなうかどうかは不明ですね。
例によって (スコア:1)
会社の正規PCを割り当てず私物を持ってこさせる or 実用に耐えないおんぼろPCを割り当てて
暗に私物を持ってくるよう要求する
という体制でやってたのかな??
公表 (スコア:1, 荒らし)
当事者にとっては、「またか」ではすまないでしょうけど。
Re:公表 (スコア:0)
変に隠そうとしていたの?
Re:公表 (スコア:1, 興味深い)
公にならない可能性は高いんだな。
連絡した先は、被害者なので、公になってほしくない点では同じだから。
っつーか、実際に公にならずに済んでいる事例はけっこうあるんだな、これが。
公表した場合と公表しなかった場合の差 (スコア:0)
漏洩された利用者にお詫びが行くのは当然ですが,
その後漏洩の事実を一般に公表するのと,
公表しないのとでは,どちらがいいのでしょうか.
#公表した場合と公表しなかった場合の対照実験などはできないでしょうが.
今回は,「漏洩の事実を公表しなかった」ことが新聞記者に「すっぱ抜かれた」ために,他の漏洩事件よりも多少耳目を集める結果になってしまうと思うのですが.
Re:公表した場合と公表しなかった場合の差 (スコア:2, 参考になる)
「掲示板やニュース報道がWinnyで漏洩したファイルの流通を広げる」---ネットエージェント [nikkeibp.co.jp]
Re:公表した場合と公表しなかった場合の差 (スコア:0)
・Winnyの場合
・Webサイトで丸見え事故
・メールで誤送信
・脆弱性突かれた不正アクセスで個人情報盗難
・建造物侵入でPC盗難
・ノートPC紛失
タレコミ氏の感想 (スコア:0)
「読む」ことがどうして自社の決断より優先されることなのかわからないです...。ネットでどういう話題になるかが、この事件の本質なんでしょうか...?
日常的に「空気嫁」というやつほど空気が読めてないのは常識だと思ったんですが。
Re:タレコミ氏の感想 (スコア:1)
むしろ今後の展開を読んだ結果ではないかと思いますね。
「IPAの指針に基づき今回の対応とさせていただきました。
決して漏洩の事実を隠蔽する意図があったわけではありません。」
ということで。
Re:タレコミ氏の感想 (スコア:1, 興味深い)
どなたか「これのことだよ」ってソースを挙げられる方はいませんか?
IPAのページを軽く見てみた範囲では、それらしき指針が見あたらないようなのですが。
Re:タレコミ氏の感想 (スコア:1, 興味深い)
嘘では? (スコア:0, 余計なもの)
> その事実を「公表しないでほしい」と依頼する文言だったそうです。
『「公表しないでほしい」と依頼する文言』があったのは本当ですか?
そんな文言なかったようですが?
企業を叩くなら、叩かれないようなタレコミを書いた方がいいと思うよ。
久しぶりにおXXな (スコア:0, 荒らし)
広告会社から広告主の情報が流出したら、存在価値がない。
それが判っているから隠したのだろうけど。いや判っていなかったのか。
広告主の情報は一件ごとに漏れることはあるかもしれない。
しかし、情報の集合体は漏らしたらお終いだし、漏れてもすぐには復号化できないようにしとかないと。
副社長はミッションインポッシブルを見てないほうに¥1賭けよう。