少し前にコジマが個人情報漏えいを発表していましたが、ヤマダもそれかなと発表を読むとカード情報漏えいであった様です。EC加盟店からのカード情報漏えいは比較的小規模な所が多かったのですが、上場企業であっても油断すると危ないのだと改めて感じます。

www.yamada-denki.jp

■公式発表　 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

◆キタきつねの所感

最初に公式発表を読んだ際に、正直どの脆弱性を突かれてカード情報漏えいまで侵害を受けたのかがよく分かりませんでした。「ペイメントアプリケーションの改ざんが行われた」部分の意味が非常にとりずらく、

モバイルアプリがやられたとも取れますし、Webサーバ・DBサーバのかなり深い所まで侵害を受けたとも読み取る事もできる様な表現です。EC-CUBEが諸々の侵害を受けてECサイトが事故の公式発表を出したそれと比べると、少し表現が違うので、色々と混乱を呼び起こしている様です。

関連記事として、ヤフーニュースで以下の記事を拝読しましたが、ヤマダ電機がセキュリティコードを保存していたのか？といった疑問が諸々から起きている様です。

とは言え、大前提として2018年5月末までにカード情報非保持か、PCI DSS準拠（※注：準拠していればカード情報は保持できる事になります）を達成してないと、法令違反（改正割賦販売法）になる訳ですから、上場企業であるヤマダ電機が、そのチェックを怠った（実はカード情報をPCI DSS準拠をせずに、保持していた）と考えるのは少し無理がある指摘（仮説）だと思います。
news.yahoo.co.jp

因みに、上記の篠原さんの記事は、ページ改ざんという事件を引き起こした脆弱点を的確に書かれており、また、セキュリティコードを違法に保持していたのか？という部分にも誤解であると非常に分かりやすく書かれていますが、1点だけ私と意見が違う所があります。

1ヶ月以上、公表しなかったのは問題
　蛇足というか一応書いておきますが、ヤマダ電機が4月16日に情報流出の恐れがわかってから1ヶ月以上先の5月29日まで公表しなかったのは大きな問題だと筆者も考えています。

フォレンジック調査結果を待っての1か月半は、客観的に見て早い方です。もっと公表までに時間がかかっているECサイトからのカード情報漏えい事件はたくさんあります（※当ブログの過去のカード情報漏えい記事を見ると分かるかと思いますが・・・）。

大型個人情報漏えい（カード情報漏えい）事件では、確かにECサイト事業者によっては第一報、第二報とリリースを上げるところもあります。

しかし最近のカード情報漏えい事件の多くは、フォレンジック調査会社の最終報告書を待ってから公式発表（リリース）を出しています。ヤマダ電機のシステムは小さなECサイトに比較すると規模が大きいかと思いますので、調査すべきシステムが多いので、報告書が出るまでに一定期間かかるのは仕方がない事ではないかなと思います。

会員数が多い企業なのだから、もっと小まめに状況を報告すべき（第1報、第2報・・・）である！と部分については（個人的には）ご指摘もごもっともと思いますが、他社の事故リリースでもそうした傾向が続いていますので、ヤマダ電機だけが必ずしも特異な訳ではありません。

むしろ、この部分についてを攻めるより、時系列から読み取れる矛盾を攻めるポイントがあったのではないでしょうか。（※何で識者の方々は時系列をよく見ないのかは疑問ですが・・・）

2019年3月18日～2019年4月26日の期間中に「ヤマダウエブコム・ヤマダモール」において新規クレジットカード登録、及びクレジットカード登録の変更をされたお客様最大37,832名で、流出した可能性のある情報は以下のとおりです。

2019年4月16日情報漏洩の可能性は判明しました・・・

気づきましたでしょうか？

公式発表にはヤマダ電機が事件の封じ込めに失敗した事が明示されています。すなわち事件発覚から10日間、侵害を受けた事を理解しながらカード登録系のサービスを止めてないのです。

想像するにヤマダ電機のシステム担当の方々は、原因調査を一生懸命探していたのかも知れませんが、結果として侵害の可能性が発覚して当該サービスを止めなかったのは、インシデント対応計画に不備があったからだと思います。（※データ侵害時にサービスを止める判断が曖昧だったか、書いてなかったのではないでしょうか）

ウィルス感染したらLAN線を抜く。様々な企業でこの対策というのは一般的になっているかと思いますが、この対策のECサイト版が曖昧だったのだとすれば、この10日間の空白（外部から見た）に結びつきそうな気がします。

さて、長々と書きましたが、では一体どの脆弱性を突かれたの？という最初の部分に戻ります。。。

実は、知人がヤマダ電機のコールセンターに問い合わせてみた内容を聞きました。オペレータの方からは、SOKAオンライン等と同じ様な偽決済ページへの誘導だったと説明を受けたそうです。

これが事実だとすれば、侵害されたシステムは他のECサイトのそれと違ったのかも知れませんが、管理者権限を侵害されて（あるいはシステムの脆弱性を突かれて）、決済ページ（※正確には決済ページ＝決済代行会社に飛ばす直前のページ）が改ざんされて、偽ページに飛ばされたのだと思われます。

つまりヤマダ電機は『Webページ改ざん』を防げなかった、あるいは検知が遅れたのが事件の原因なのだと思います。

だとすれば、カード情報非保持（※通常は決済代行会社などの非保持ソリューションを使っています）との、つなぎの部分、ヤマダ電機側の責任範囲（Webページ管理範疇）が侵害を受けた、言い方を変えれば境界線の責任が曖昧な部分を突かれたという事なのだと思います。

公式発表を読むと、侵害を受けたのは、今年の3月から4月です。それ以前、去年の秋ころから類似のECサイト攻撃事例はたくさんありました。それを考えると、ヤマダ電機は他社の侵害事件を学ばなかった、つまり油断していたと言えるのではないでしょうか。

更新履歴

• 2019年5月29日PM（予約投稿）

トレンドマイクロの１ユーザとして、この記事が気になり、ソース記事を少し読んでみました。 

japan.zdnet.com

　トレンドマイクロは5月20日、ロシアのハッキング組織がウイルス対策ベンダーのデータを盗み出したとする一部報道に関連して、同社がデバッグ目的で利用する情報の一部が流出していたことを明らかにした。なお、同日時点でソースコードや顧客情報の漏えいは確認していないとしている。

　この報道はBleeping Computerなどが米国時間13日に発信したもので、米Advanced Intelligenceが10日に公表した調査に関連したもの。Advanced Intelligenceによれば、「Fxmsp」を名乗るロシアのハッキング組織が行ったサイバー攻撃によって、米国に拠点を持つ3社のウイルス対策ベンダーから機密情報が盗み出されたという。Bleeping Computerは、3社のウイルス対策ベンダーの1つをトレンドマイクロと報じていた。

（Zdnet記事より引用）

公式発表　一部SNSや報道に関して | トレンドマイクロ

◆キタきつねの所感

Zdnetの記事は元々は英語サイトの記事を引っ張ってきたものの様です。そちらの方も元引用としては、２つ挙げていて、それがBleepcomputerとAdvanced Intelligenceの記事でした。朝日新聞も、これらの情報からわかりやすい記事を書いていますが、

トレンドマイクロにサイバー攻撃 ロシア系ハッカーか [サイバー攻防]：朝日新聞デジタル

なぜかBleepcomputerの5/13記事（Zdnetの記事にリンク有）にははっきりと明示されていたアンチウィルスベンダー３社の内、トレンドマイクロしか記事に登場しません。朝日新聞は5/20の記事なので少し不思議な所ですが、Bleepcomputerの記事だとハッキングされた可能性があるのが、トレンドマイクロ・マカフィー・シマンテックの３社である事が分かります。

www.bleepingcomputer.com

この記事、あるいは朝日新聞らの記者さんらの取材に対する、トレンドマイクロとしての公式見解（5/20）は、ソースコードが漏洩した事はなく、デバックコード等が漏洩しただけであると発表しています。

それでも内部からデータが漏洩したという事実は否定されてないので、トレンドマイクロもハッカーの被害を受けたのは事実の様です。

ではBleepcomputer、そのBleepcomputerが引用しているAdvIntelの記事がどう書かれているのか、元ソース（5/9に初稿が出され、5/10に更新されています）を見てみます。

まずロシア系ハッカーであるFXSMPの動きを示した図があったので引用します。

記事の主なポイントを機械翻訳をベースに書き出すと、

・FXSMPは、2017年からアンダーグラウンドで活躍する集団でロシア語と英語を使うトップクラスのハッカー集団で、プライベート企業や政府の情報への攻撃を得意としていると説明されていました。

・2019年3月にFxmspは米国のトップアンチウィルス企業から盗んだソフトウェア開発に関連する独占的なソースコードを持っており、それらを30万ドル以上で販売提供するとしていた様です。

・FXSMPは30テラバイトのデータを含むとされるフォルダのスクリーンショットを提供し、それらには開発ドキュメント、AIモデル、Webセキュリティソフトウェア、アンチウィルスソフトのべースコードに関連する情報が含まれている

このハッカー集団は地下フォーラムで6カ月間突然活動が見えなくなり、2019年4月に戻ってきて、上記の販売提供のオファーが出されていた事から、Fxmpsがアンチウィルス企業をターゲットに侵入していた事が推測されています。

攻撃手法については、上記図の中にも書かれていますが、この攻撃用に開発した機密のユーザ名とパスワードを抽出するボットネットが使われ、その外部への持ち出し戦略には、リモートデスクトッププロトコル（RDP）とアクティブディレクトリを介したネットワーク環境へのアクセスが使われたとされています。

Bleepcomputerで開示されたFxmsp内のチャットログ（ロシア語の英語翻訳）では、

Fxmsp: the [TrendMicro] access is to a local corporate network
Fxmsp: you have unfettered access in their network environment
Fxmsp: no, you can only move laterally via credentialed net shares or RDP
Fxmsp: the access sold is via TeamViewer or AnyDesk remote software
Fxmsp: their network defense does not see us b/c teamViewer and AnyDesk are legit software, and admins also use it there. That is why no questions.
Fxmsp: their [TrendMicro] network is huge and every network portion has different visibility
Fxmsp: when downloading and exfiltrating all the [TrendMicro] data it will over 1000 terabytes
Fxmsp:  plus when exfiltrating all their data, it would take months, very risky to exfiltrate everything that they have

内部でのネットワーク内ローミングを誰も監視していない事が、今回の3社への攻撃をFxmspが成功した理由である事が伺えます。

この件に関して、トレンドマイクロは上記の様にソースコード流出を否定していますが、Bleepcomputerの記事では、AdvIntelが4/24にトレンドマイクロに（事件の可能性について）連絡を取った際の返信が掲載されています。

「我々は最近の主張に関して積極的な調査を行っているが、それが完了していない間に、我々が学んだことを透過的に共有したい。我々の法執行機関と密接に協力している。私たちは、第三者による単一のテストラボネットワークへの不正アクセスが行われており、低リスクのデバッグ関連情報がいくつか得られていることを認識しています。ラボを隔離し、対応するすべての環境をセキュリティで保護するために、ただちに対応が取られたため、追加情報を共有する立場にありません。しかし、追加の洞察が利用可能になり、開示される可能性がある場合は更新を提供します。」

- トレンドマイクロのスポークスマン -

（Bleepcomputer記事より引用）※機械翻訳

機械翻訳なので読みずらい所は勘弁していただくとして、まぁ、日本のトレンドマイクロの公式発表と内容的には同じ事を言っています。

こうした回答に関して、AdvIntelのセキュリティリサーチディレクターであるYelisey Boguslavskiy氏は、Fxmspのチャットログ等を元に、否定的な見解を示しています。

Boguslavskiyによると、トレンドマイクロの声明は間違っている。

「ソースコードに関するトレンドマイクロのレポートに関しては、私たちは、アクターが30 TB以上のソースコードとTrendMicroからのすべてでアクセスした実際のファイル（100 MB以上のsymファイル）の証拠を提供することができる」とBleepingComputerは言った。 

（Bleepcomputer記事より引用）※機械翻訳

この内容が正しいのかどうかを私は知る術はありませんが、どうやらFxmspやそこを調査したAdvintel社はトレンドマイクロ社（や他2社）からソースコードが漏洩した事について確たるものを持っている様に思われます。

事実がどうであるかは、今後の推移を見守るしかありませんが、残念ながら、我々が多大な信頼を置いている大手アンチウィルスベンダーですら、自社のセキュリティを破られる時代である事だけは、我々も認識を強くもつ必要がありそうです。

更新履歴

• 2019年5月26日PM（予約投稿）

ネットリサーチサービス「アンとケイト」から約77万件の個人情報が漏洩したと報道されていました。

scan.netsecurity.ne.jp

株式会社マーケティングアプリケーションズは5月22日、同社が提供するアンケートモニターサービス「アンとケイト」に係るサーバーに第三者からの不正アクセスがあり顧客情報の流出が判明したと発表した。

同社では現在、同サービスに係るシステムを全停止し、外部からアクセスができない対策を実施している。また、不正アクセスの経緯については現在調査中で、調査結果をもとに今後の対策を講じるとのこと。

流出した可能性がある個人情報は、氏名、電話番号、メールアドレス、パスワード、住所、銀行の口座番号等の「アンとケイト」に登録した項目全て。

（Scan Netsecurity記事より引用）

■公式発表　不正アクセスによるお客様情報流出に関するお詫びとお知らせ　株式会社マーケティングアプリケーションズ

◆キタきつねの所感

「アンとケイト」の個人漏洩事件は、現在まだ調査中だからという点もあるのかと思いますが、個人情報・クレジットカード情報が漏洩した際に、各社の正式リリースによく出てくる謎のフレーズ（※何となくそれっぽく聞こえるけど、何が原因だかまったく分からない）「第三者より一部サーバーの設定上の不備を攻撃され・・・」と書かれていましたので、こうした事件を見て気を付けようとする他社あるいは、私みたいなリサーチャーにはあまり役立つ情報が公式発表にはありませんでした。

外部の第三者に攻撃を受けた事は、もしかしたら０ディ攻撃の可能性もある（防ぎきれなかった妥当な理由がある）のかも知れませんが、公式発表を読むと、個人情報を取り扱う企業（の発表）としては、少し疑問に思う対応があったので、今回は公式発表を出す経緯を含めての深読み（※公式リリース情報から読み取れる内容を勝手に解釈）をしてみようかと思います。

まずは、最近の流行りなのでしょうか？トップページへの事件記載が無いのは気になりました。

トップ画面が回答側のものではないとのご指摘を受け、以下修正します。（引用部分が間違っており、結果として誤解を生じる文章になってしまっていた事をお詫びいたします）

ユニクロ・GUの事件記事でも同じ事を書きましたが、トップページに何も書かない手法は危機管理広報の戦略としては正しいのかも知れませんが、私は中長期的には企業（サービス）への信頼を低下させる行為だと思います。

謝罪の個別メールあるいは運営会社側のリリースをわざわざ見てないモニターからすれば、マスコミの報道がなければ、自分の個人情報が漏洩したという事を知る機会を奪う事になりかねません。

おそらく新規モニター募集やステークホルダー、といったビジネス上の関係者への影響を考えて、トップページに書かない事を（消極的非表示）選択したのかと思いますが、積極的にトップページの上側に書かないまでも、少し下にスクロールすれば出てくる位置に公式発表へのリンクを出すなど、いくつかの消極的表示の方法はあったかと思います。

しかし何も書かない事は、個人情報やクレジットカード情報を漏洩したサービス（企業）としては、事件を軽視している印象を（事件を知る）多くの方に与えかねない事を考えると、私はあまり良い手だったとは思いません。

誤引用のご指摘コメントを受けて改めて考えましたが、企業の姿勢としてアンケート依頼側のホームページに、何も事件の事を告知しない事については、事件当時の企業姿勢として、問題があったと思います。（企業広報戦略上としては正しいとは思いますが・・・）　

次に疑問に思ったのが、マーケティングアプリケーションズの事件への認識の低さです。

77万件という件数は、最近の個人情報漏洩事件にしては少し多いな程度の印象の方も多いかと思いますが、他の漏洩事件では見ない機微な個人情報が混じっています。

個人情報として、メールアドレス（パスワード）と名前が漏洩しました、という（ここ数年よく報告される）事件と比べると、その差は歴然です。個人年収、世帯年収、口座番号・・具体的な職業・業種・職種・配偶者や子供有無・・・・などと条件を付けたとしても、漏洩内容としては、国勢調査（あるいは金融機関が保有する個人情報）並みに機微な情報と言えるかと思いますが、その割には普通の事件と同じ対応をしている様に思えます。

(１)流出アカウント数：770,074件

(２)流出内容
氏名(*2)、メールアドレス、パスワード、性別(*1)、生年月日、未既婚(*1)、子供の有無(*1)、個人年収(*1,2)、世帯年収(*1)、職業(*1)、勤務先業種(*1)、郵便番号、都道府県(*1)、市区町村(*2)、市区町村以降の住所(*2)、電話番号、銀行口座の支店番号(*2)、口座番号(*2)、口座名義(*2)、Pex ポイント口座番号(*2)、ドットマネー口座番号(*2)　等

(*1)該当する選択肢番号を選ぶ形式のため、具体的な職業・業種・職種、配偶者や子供の有無などは明記されていません
(*2)任意項目のため回答頂いていた方のみ該当します

（公式発表より引用）

次に感じたのが、漏洩対象者への”メール対応のみ”への疑問です。

サービスの運営主体であるマーケティングアプリケーションズは、Pマーク取得企業（※下記Pマークは「アンとケイトHPより引用）です。

モニターの方は個人情報の管理がしっかりしているからと、自身の機微な個人情報を登録したと思うのですが、その結果が、パスワード変更依頼（あるいは退会処理が可能にする事）のメールを出すだけというのも非常に疑問な所です。

(２)対応
攻撃を受けた不備に対して対応を行った上で、2019年5月24日に「アンとケイト」モニターサイトを復旧いたしました。個人情報が流出したアカウントのパスワードについて無効化を行った上で、モニター様にパスワードを再設定をいただくことで、モニター様ご自身により登録情報の閲覧、変更、退会が行えるようにいたしました。 
※パスワードの再設定のお願いをメールで個別にご連絡しております。また、本事案については、警視庁に通報しています。 

私は今回の事件は、個別に（ごめんなさい）メールしましたというレベルではなく、機微な情報を考えると、『金券等のお詫び』まで踏み込むべき内容である気がしました。

「お詫びとお知らせ」のメール本文に何が書かれているかは分かりませんが、通常は公式リリースと同じ内容が書かれている事が多いので、それを前提に想像すると、

仮に「自分の機微の情報を漏らしておいて謝罪のメールだけ？保証は？」と登録モニターが考えたとしても、不平不満、あるいは事件の詳細経緯を聞きたいと思ったとしても、７７万件の漏洩事件の対象者（登録モニター）は、平日営業時間帯にメールする事しか出来ないのです。

この対応について、言い方が乱暴になりますが、７７万件の個人情報を預かる資格はなかった企業と言えるのではないでしょうか？普通の企業であれば、臨時のコールセンターを設ける気がします。

※5/27追記　よく考えると、メール対応なのに受付（メール受信）が24時間で無いのはどうしてでしょうか？おそらくメール回答は営業時間内と言う意味なのかと思いますが、メール受付が制限されているとも読めるので、お詫びの文書としてはあまり良い表現ではない気がします。

更に言い方が乱暴になりますが「ご回答までにお時間を要する可能性がございます」とある部分について、初回リリースを出したにも関わらず、最初から既に逃げの文章を書いている部分もどうかと思います。

もしかすると、私の見解がまるっきり勘違いで・・・本気でメールで対応する！という強い想いでマーケティングアプリケーションズは対応されているのかも知れません。

※その際は、上記の乱暴な表現について、過大な推測を元に書いた事を深くお詫びします。

では、その臨時のメール対応は何人で対応するのか？と考えてみたのですが、企業情報には１２８名の従業員の方がいらっしゃると書かれていますので、単純試算では、

漏洩対象者 770,074件　÷　従業員128名　＝6,016人（１従業員当たりの対応件数）

大体ですが、1人1日300件程対応が出来れば1カ月で77万件の対象者の方すべてからのメールに対応できる事になります。日々の業務を全部ほっぽりなげて、この数字・・・何となく無理な気がします。

とは言え、問い合わせメールが対象者全員から殺到という事がない場合も考えられます。仮に漏洩対象者の1/10から問い合わせが来たとすると、従業員全員で1日30件程度を処理すれば良い事となります。

しかし、これだと従業員の全員が対応にまわる事となり、社長も含めて通常業務が止まりますし、事件の詳細調査対応人員や、警察やその他関係機関との報告もあるでしょうから、その対応をする方も必要・・・と考えてくると、ざっくり従業員の1/3（40人程度）を1カ月専任として当てる位までしか、個社の対応は難しいのではないかと推測します。

しかし・・・公式リリースには気になる記載が。。。。

・・・既に業務再開されてますので、営業時間後に深夜まで残業する事を考えず、通常時間帯に業務対応をするのであれば、想定されるメール対応人員は更に減りそうです。全従業員の1/6程度、つまり20人程度しか臨時対応に割けないのではないでしょうか？

改めてその条件で試算してみると、

漏洩対象者 770,074件（の1/10）　÷　想定対応従業員20名 　÷　20日（1カ月）　＝192.5件（１対応従業員当たりの1日の対応すべき件数） 

大した事はありません。試算上は、対応従業員1人あたり、休憩時間無しで1日8時間、3分以内に1件のメールを処理すれば約1カ月（20日）で完了します。

※仮に漏洩対象者の半分が問い合わせをしてきたとすると、1通30秒位で処理しなければならない事になりますので、数カ月メール対応だけでかかる事になってしまいますが・・・

ここまで考えてくると、今回のマーケティングアプリケーションズの対応は、事業再開を急ぐあまりに無理がありすぎる気がします。自社でこの再開シナリオを考えたのかなと推察しますが、77万件の個人情報漏洩事件を発生させたという重みを理解しているとは到底思えません。

やはり、危機管理コンサル、または事件調査（対応）に詳しいセキュリティコンサルを雇うべきだったのではないでしょうか？そうしていれば、この「事件発生させてごめんなさい。でも対応がもう完了しましたので事業再開しました」シナリオではなく、違った形でのシナリオに落ち着いたかと思います。

普通のコンサルであれば、この影響件数（77万件）を考えると、まずコールセンター設置を提案すると思います。企業規模から自社対応（メールのみ）が出来ない事が容易に推測できますので、費用をかけてでも漏洩対象者への説明（あるいは問い合わせを）を急ぐかと思います。特にアンとケイトは登録モニター自体がビジネスの根幹＝重要資産であり、登録モニターの評判を事故対応で落とす事をなるべく避ける必要があります。

次にコンサルが提案するであろう事は、『事業再開を急ぐな』だと思います。今回の公式発表は事件に対しての初回リリースとなる訳ですが、

このたび、弊社が運営するアンケートモニターサービス「アンとケイト」、「ポケットアンとケイト」において第三者による不正アクセスがあり、お客様情報が流出いたしました。 今後の調査の進捗に応じて対象件数や状況が変動する可能性がございますが、現時点で確認している事実と弊社の対応状況をご報告いたします。 ご利用の皆さまに多大なるご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。 

（公式発表冒頭部分より引用）

マーケティングアプリケーションズとしては最終報告として出した様な雰囲気がありますが、『現時点で』と書かれています。これは一般的は事件調査が完了していない事を示唆しています。

(１)経緯
弊社内で攻撃の形跡を検知し、調査を進めたところ、2019年5月22日に第三者によるサーバーへの不正アクセス、お客様情報の流出を確認しました。確認後、「アンとケイト」に係るサービスを全て停止し、外部アクセスを遮断および、その他のアクセスについても監視を強化しております。 (現在は後述の対応の上、サービスを再開しております。)

（公式発表より引用）

5/22に初めて不正アクセスと情報流出を確認して、5/24にリリースを出しているので当然かとは思いますが、対策完了について、この短期間で第三者の評価を受けているとは思えません。

個人情報やカード情報が漏洩した企業の多くは、第三者評価で安全性が確認された後にサービスを再開しています。しかし、マーケティングアプリケーションズは、原因を「第三者より一部サーバーの設定上の不備を攻撃され・・・」と、ある意味原因を開示せずに、対策済としてサービスを事件確認後2日で再開しています。

よほど自社のセキュリティ、あるいは事後対策に自信があるのだと推察しますが、そもそもそのセキュリティが破られたから事件が発生しているのではないでしょうか？

今回の公式発表「お詫びとお知らせ」に透けて見えるのは、運営企業としてのビジネス再開への焦りです。個社の事情で、そこを急ぐあまり、見落としている所が多いのではないでしょうか。

コールセンター設置あるいは、外部へ事後（メール）対応委託、フォレンジック調査（第三者評価）、危機管理広報（リリース文の精査、記者会見、モニターへのお詫び）等々・・・考える事がきっともっとあったかと思います。

尚、ハッカーが企業に深く侵入した場合、1か所でなく何か所かバックドアも含めて仕掛けが残されている事もあります。対策済と思っていても１つの穴をふさいだだけ（また侵害される）という事もありますので、対策済が本当かどうか？は時間をかけて調査する必要があるかと思います。

また、77万件の漏洩情報を持ったハッカー側（あるいは便乗犯）が、例えばここで退会処理ができますといった、フィッシング攻撃を仕掛ける場合もある様ですので、しばらく留意が必要かと思います。

※5/27追記　harrierさんから「GooglePlayからアプリが消えている」との追加情報コメントを頂きました。調べてみると、確かに消えています。Google検索（アンとケイト×Android）では下記の様にリンクが出てくるのですが、

リンクを辿ると・・・ソフトが削除されていますね。

既存ユーザからの事件への不平・不満がコメント欄に書かれて荒れるのを避ける為ではないかとharrierさんは推測されていましたが、平日メール対応の件を考えると、十分にあり得る考えかと思います。

仮にそうだとすると、自社の利益の源泉である既存の登録モニターの評判に影響を与える（やってはいけなかった施策と言える）かも知れません。

更新履歴

• 2019年5月26日AM（予約投稿）
• 2019年5月27日PM　よく考えるとメール対応時間がおかしいと思ったので追記し、併せてGooglePlayからアプリが消えている旨のコメントを頂いたので追記
• 2020年4月16日PM　コメントでの引用部分の間違いご指摘を受け一部内容修正

ドローンは、安上がりな空港サービス妨害攻撃として事例を重ねつつあるようです。英国に続き、ドイツでも未確認ドローンの被害が出ました。

jp.sputniknews.com

フランクフルト空港の南側の滑走路の上をドローンが飛行しているのが目撃され、安全確保のため約１時間離着陸が停止された。

離着陸が停止されたのは現地時間７時３０分頃（日本時間１４時３０分頃）。警察がドローンの行方を捜査し、ヘリコプターも出動したが、結局ドローンは見つからなかった。空港の発表によると、９日に予定されていた１５００便のうち約７０便が欠航または遅延した。

今回の出来事を受け、ドイツの空港のドローンに対する脆弱性が指摘されている。ドイツの空港には、例えば英国で使用されている軍事的な検知および妨害システムが今のところ設置されていないという。

（Sputnik日本記事より引用）

◆キタきつねの所感

ロンドンで空港が大混乱となったのが、昨年12月、同じように未確認ドローンが空港エリアに侵入し、空港が24時間閉鎖されました。日本の空港は・・・東京五輪関連での攻撃でも警戒すべきかも知れません。

japan.zdnet.com

日本では、ついこの間の5/3に皇居周辺で複数の未確認ドローンが目撃されていますが、2015年4月に首相官邸屋上で未確認ドローンが見つかった事を契機に2016年に成立した、ドローン法改正案では、首相官邸や国会議事堂、原子力発電所、飛行場など重要施設上空の飛行が制限されています。
www.sankei.com

警視庁は２７年１２月、網で不審機を捕獲する大型ドローンなどを装備した「無人航空機対処部隊」（ＩＤＴ）を発足。さらに今年、妨害電波で飛行を不能にするジャミング（電波妨害）装置も導入し、一連の皇室関連行事でも配備した。

しかし、不審機は目視などで確認するため、夜間は発見が難しくなるとされる。捕獲やジャミングの装置も高度、スピード、範囲などの面で限度があるとされ、警察関係者は「一定の高度にある不審機の接近を完璧に防ぐことは困難」と漏らす。

（産経新聞記事より引用）

当然皇居エリアも対象だったと思うのですが、大型ドローンで捕獲する手法も目視が前提であったり、ジャミング装置も常時使用されている訳でも無い様ですので、まだドローン対策は試行錯誤な面もある様です。

更に言えば、日本でGPS規制などでいくら飛行禁止をドローンに強制しようとしても、国内製のドローンであれば抑えきれるかもしれませんが、（一部の）海外製ドローンは対策が難しい気がします。

各国で規制内容が違う（例えば利用周波数が違う）ケースもあり、国内の重要施設であっても飛行ができる、あるいは自動運転ができてしまう海外製ドローンを持ち込んでしまえば、重要施設を（一時的な）サービス不能に追い込む、そんな危険性はまだ残っている様に感じます。

参考：東京五輪でのドローン攻撃 - Fox on Security

※ちなみに、各国のドローンへの規制は以下の所を見ると結構わかりそうです。（主に海外側から見た持ち込み規制ですが・・）規制側は、こうしたサイト情報なども俯瞰するべきかと思います。

www.google.com

更新履歴

• 2019年5月12日PM（予約投稿）