全世界の人口が現在70億人位ですが、ヤフーから30億件のメールアカウントを盗んだカナダ人ハッカーへの判決が出ました。

jp.techcrunch.com

11月に罪を認めたカナダ人ハッカーKarim Baratov（23歳）は、Yahooをハックして最大30億のアカウントを露出した罪の、少なくとも一部に関して有罪が確定し、刑期5年の懲役刑が下（くだ）された。司法省によるとBaratovは、ロシアの諜報機関FSBの二人のエージェントの指示により、それらのアカウントを漏洩した

 

Baratovは5年の実刑に加えて、彼の保有資産225万ドルの全額を罰金として支払わなければならない。彼は陳述の中で、2010年から逮捕の2017年までに11000件のメールアカウントをハックしたことを認めた

(Techcrunch記事より引用）

◆キタきつねの所感

Yahooのアカウントの情報漏えいは、最初は10億件と発表され、その後20億件、30億件と影響範囲が拡大していきました。現在の世界人口はおよそ70億人ですので、重複はあるので単純には言い切れませんが、世界人口の40％のアカウント情報（個人情報）が漏えいした事件となる訳です。そのハッカー（の1人）に対する罰が5年というのも、なかなか興味深いものです。

CSOオンラインが選ぶ、21世紀のデータ漏えい事件で、Yahooの事件は第1位にランキングされます。漏えい件数もさる事ながら、その影響度が加味されて1位になっています。

www.csoonline.com

CSOオンラインの記事を読むと、経営インパクトで一番大きかったのは、Verizonへの株式売却交渉への影響と言えそうです。売却価格を350百万ドル下げた事に対する、ハッカーの罰の対価が5年の刑期と個人財産が2.25百万ドルですので・・・計算上0.6％しか回収できない、つまり、大型セキュリティインシデントが起きてしまうと、企業側は大損である事を改めて裏付けたと言っても過言ではありません。

しかし・・・気になるのは、カナダ人のハッカーは23歳ですが、、、保有資産が225万ドル（約2.5億円）あったという事。ロシアの諜報機関FSBが関与している事件と言われていますが、この保有資産（の多く）がFSBへの協力の対価だとするならば、協力者には事欠かないと思いますので、こうした国家が関与する大型サイバー攻撃というものは、ほとぼりが冷めた頃にまた出てくる事は間違いないでしょう。

そう考えると、企業は自己防衛するしかなく、セキュリティ体制の（バランスの良い）強化というのは、自社のビジネスや、経営陣自体を守るためにも重要であるといえそうです。

更新履歴

• 2018年6月1日PM（予約投稿）

日経に経済産業省の取り組みが出ていました。

www.nikkei.com

経済産業省は国内の上場企業に対し、経営指針にサイバー攻撃への対策を盛り込むことを促す。経営層が取り組みに関与し、実施状況について監査法人などの評価を受けることも求める。30日に開く有識者会議「産業サイバーセキュリティ研究会」で方針を決める。

（日経記事より引用）

30日の会議前のリーク記事となるようです。産業サイバーセキュリティ研究所で調べてみると・・・WGの成果が討議・発表されるようです。

www.meti.go.jp

◆キタきつねの所感

研究会の成果発表前のリーク情報（結論の前倒し発表）の様です。去年何か資料を見たなと思ったので第1回の資料を探してみたのですが、配布資料が勉強になります。特に事務局説明資料が現状の俯瞰に役立つ情報が結構ありました。

www.meti.go.jp

経営指針へのサイバー攻撃対策については、昨年11月に改訂されたサイバーセキュリティ経営ガイドラインの考え方を踏襲した（その実効性を高める）ものだと思います。更に踏み込んで、外部の監査法人の評価・・・これがどこまで普及するのかは分かりませんが、自社の『全部YES』式の（お手盛り）評価では実効性が高まらないという事を考えて、リスクアセスメントであったり、セキュリティ監査という形で外部の専門家のサポートを受けるべきであるという委員会の討議の流れになっているのだと推測します。

こうした背景として、日経記事では、日本企業の対策の遅れを指摘しています。

　日本企業の対策は出遅れが目立つ。独立行政法人のＩＰＡ（情報処理推進機構）によると、経営層が積極的にサイバー対策に関与している企業は米国の83％、欧州の72％に対し、日本は58％にとどまっている。

（日経記事より引用）

セキュリティコンサルタントの端くれとしては、嬉しい方向性といえるのかも知れませんが、上場企業の経営層がセキュリティ専門家の視点が必要である、と予算をつけてくれる可能性が高くなる事は、中小企業への波及効果も含めて、とても良い事ではないかと思います。

更新履歴

• 2018年5月29日PM（予約投稿）

読売オンラインになかなか興味深い記事が載っていました。

www.yomiuri.co.jp

　カメラは、「芝川都市下水路」の鎌倉橋近くに設置され、市のホームページで水位の画像を公開している。当初設置していたカメラは、初期設定されたパスワードをそのまま使用しており、パスワードが変更されたため市側がアクセスできなくなっている。市は梅雨の時期を迎えると雨量が増すため、代替機を設置した。

（読売新聞記事より引用）

◆キタきつねの所感

記事だけからでは伺いしれない部分もあるのですが、物理的なカメラは市の管轄化にあるのですから・・・機器を初期化すれば良いのでは？と思いました。恐らくそれが出来ない何らかの理由があるのでしょうが、代替気買うのより復旧が早い気がするのですが。。。

この事件を聞いた際に、何か既知感があったのですが、『初期パスワード』だった部分で思い出しました。自分で書いたこの記事がその理由のようです。

foxsecurity.hatenablog.com

前々から監視カメラ（IoT機器）の甘いセキュリティ設定というのは、様々な問題が指摘され、実際に事件が発生してますが、そうした脆弱性を知らない市、あるいは市の機器設置を行う企業は、こうした事件を改めて教訓とすべきかも知れません。

因みに12月の時点では・・・事件調査で使った、初期パスワードあるいは、簡単なパスワードであったが故に、海外サイトによって一般公開されてしまっている監視カメラは日本は1911台あったのですが、

改めてサイト（※気になる人は画像の左上の英語をGoogleにでも入れて下さい）を確認した所、残念ながら半年で2313まで増えているようです。

検索で日本の河川らしき監視カメラを調べてみると、10台以上は脆弱な状態にありそうです。ざっと見た感じが以下の通り。

　■和歌山県田辺市　2台（キャノン）

　■熊本県熊本市　1台（キャノン）

　■岐阜県岐阜市　1台（パナソニック）

　■東京都　5台（パナソニック）※ヒノカゲバシ

　■岡山県岡山市　2台（パナソニック）

　■神奈川県横浜市　1台（パナソニック）

　■大阪府大阪市　1台（パナソニック）

掲載されているカメラは、詳細情報を少し見た限りでは、”パスワードレスな状態”であるように見受けられました。日本製のカメラではパナソニック、キャノン、ソニーの名前がチラホラと出てくるのですが、Wifiルータでの初期パスワード（乱数）が機器に紙で入っている様に、監視カメラも初期パスワードを固定にする、あるいはパスワード設定が無いまま公開できないような何らかのメーカー側の対応というものが必要な気がします。

更新履歴

• 2018年5月26日PM（予約投稿）

コカコーラが情報漏えいした件を、米国バーモント州の州政府事務所が5/23に発表していました。

■公式発表

まだ出てないようです。（Coca Colaのニュースリリース）

　※米国バーモント州の州政府事務所の発表

■事件の概要

元従業員による内部漏えい事件のようです。コカコーラ子会社の元従業員が外部ハードドライブにコカコーラの情報を不適切に保有している事が法的機関により2017年9月17日に知らされ、内部調査の結果、コカコーラ従業員とその他の個人情報が元従業員によって持ち出されている事を確認した。

発表が遅れたのは、法的機関の犯罪捜査への影響を考慮しての事で、法的機関より先に進めても良い（公表しても良い）と最近知らされたので今回の公表となった。

◆キタきつねの所感

あまり詳細な事件内容が出てません。日本を含め米国のニュースサイトでも、まだ取り上げられてないので、事件を深く見る事ができないのですが、ひとつ言える事は、コカ・コーラ程のグローバル企業であっても、内部不正は防げないという事が改めて証明されてしまいました。

5/25には巨額の制裁金が課される（全世界売上の4％又は2000万ユーロ）、欧州の一般データ保護規則（GDPR）も施行されてしまいましたが、今回のコカコーラの個人情報漏えいも欧州の従業員が関与するのであれば、規制対象となっていたかも知れません。

今回の事件は、事件分類上は内部犯罪に当たると思います。日本でも最近、”中日本エクストール横浜”の元従業員の内部犯罪がニュースに出ていましたが、事件自体の数は少ないまでも、内部犯罪では機微な情報へアクセスできる管理者権限を悪用されるケースが多いので事件発生時はサーバー攻撃（外部からの犯罪）に比べて被害規模が大きくなるといわれています。今回の情報漏えいの規模は分かりませんが、『外部ハードドライブ(external hard drive)』が使われたとありますので、外部ハードディスクかUSBドライブか分かりませんが、元従業員（恐らく退職前）によって多くの情報が不正に持ち出されてしまい、その一部が従業員等の個人情報を含んだファイルであったと読み解くのが妥当だと思います。

コカコーラの配合秘のレシピまでは・・・漏えいしてないとは思いますが、転職・退職を考慮して内部から不正に（多くの場合は大量に）データを持ち出されない様に、デバイス制限や監視というものも非常に重要だと思います。

参考：

www.asahi.com

更新履歴

• 2018年5月26日AM（予約投稿）