ハッキングされた企業は被害を開示すべきか?
タレコミ by taraiok
taraiok 曰く、
米国の法律上では企業はどれほど被害額が大きくても、ハッキングが行われたことを公表する義務はない。しかし、そのことが被害を広げている可能性がある。
中国のハッカー集団は。2009年3月15日ににコカ・コーラに対してハッキングを行った。コカ・コーラは中国最大の野菜ジュースメーカー「慧遠(Huiyuan)」を買収する計画で、契約内容等はほぼ確定していた。しかし、中国商務部は直前になって買収を拒否、買収計画は中止された。Bloombergの記事によれば、FBIはハッキングされた時期と破談になった時期がハッキングから3日後というタイミングであることから関連性は高いと見ているようだ。しかし、コカ・コーラ側はこの情報は公開していない(Bloomberg、motherboard.vice、Reuters、本家/.)。
2011年7月に世界最大の鉄鋼会社「アルセロール・ミッタル(以下アセスロール)」のコンピューターに侵入、機密ファイルを盗み出した。犯人は同じ中国のハッカー集団見られているという。アセスロール側はどれだけの情報が盗み出されたのかは分からなかったし、ハッキングされたという情報を株主と共有するすることはなかったという。このためコカ・コーラとアルセロールという二つのハッキング事件が結びつくのに時間がかかった模様。
このほかにもデュポン社やロッキード・マーティンが、中国のハッカー集団に狙われたことがあるとしている。米国の元防諜責任者Joel Brenner氏によれば、ここ10年間で2000以上の企業が中国のハッカーに狙われたことがあるという。しかし企業は投資家への影響を考えて、自社がハッカーに狙われたという情報を開示することはほとんど無い。このことが中国ハッカーを増長させる要因になっている可能性があるとしている。