- カドカワ公表の情報漏洩の原因に衝撃走る「権限ある社員なら誰でも起こせる」
https://biz-journal.jp/company/post_382727.html
- ハッカー集団からマルウェアを含むサイバー攻撃を受け情報漏洩が起き、一部サイトやサービスが停止していたKADOKAWA。今月5日には「ニコニコ動画」が再開するなど徐々に正常化に向かいつつあるが、同日には「ニコニコ動画」を運営する子会社のドワンゴがプレスリリースを発表し、情報漏洩の原因や範囲を説明。窃取されたアカウント情報によって社内ネットワークに侵入されたことが原因だと推測したが、悪意を持った社員などがアカウントを使ってシステムにアクセスすることによって情報漏洩やサービスダウンを起こせる可能性が改めて認識され、「逆に恐ろしい」「アクセス権限を持つ社員なら誰でも起こせる」といった声もあがり一部で衝撃が走っている。
- KADOKAWAのシステムで障害が発生したのは6月上旬のことだった。動画共有サービス「ニコニコ動画」、KADOKAWAのオフィシャルサイト全体、ECサイト「エビテン(ebten)」に加え「N高等学校(N高)」「S高等学校(S高)」など広い範囲で障害が発生。同社の出版物について書店からサイト経由での発注や出庫確認ができなくなった。同社に対してランサムウェアを含むサイバー攻撃を行ったとする犯行声明を出していた「BlackSuit」は、同社のネットワークを暗号化し、従業員やユーザの情報などを入手しており、同社が身代金の支払いに応じなければ7月1日にも盗んだデータを公開すると主張していた。同日には従業員の個人情報や取引先情報などの漏洩が確認され、7月3日にBlackSuitはダークウェブ上に公開していた同社への犯行声明を削除した。その後、臨時のものも含めて順次、サービスは再開。今月5日には多くのユーザを抱える「ニコニコ動画」が再開に至った。
そしてドワンゴは今回、リリース「ランサムウェア攻撃による情報漏洩に関するお知らせ」を発表。情報漏洩の原因について次のように説明している。
<フィッシングなどの攻撃により従業員のアカウント情報が窃取されてしまったことが本件の根本原因であると推測されております。窃取されたアカウント情報によって、社内ネットワークに侵入されランサムウェアの実行および個人情報の漏洩につながることとなりました>
漏洩した情報は、同社および一部関係会社の一部取引先の個人情報、同社全従業員の個人情報、N高等学校の一部の在校生・卒業生の個人情報、一部取引先との一部の契約書など広い範囲におよぶが、もし仮に悪意を持った社員などがアカウントを使って社内システムにアクセスすれば、システム障害が情報漏洩を起こせてしまう可能性が改めて認識されている。
- 自業自得やんけ!🥺
- 初歩的なミスやな
- >>5
いうて社内で啓発メール送ると結構引っかかるやつ多い - >>5
フィッシングされたらデータセンターまで窃取される設計になってるの初歩的というレベルを超えてるやろ🥺 - ドワンゴは攻撃の一報では「入念に攻撃が準備された形跡がある」って言ってたよな?
あれ嘘だったんか?🥺 - 最小権限の法則は基本やろ
- そもそもなんで社内IDとパスワードをフィッシング詐偽サイトに打ち込む必要があったのか
- >>9
社内のシステム部を騙ってパスワード変更の必要があるから入力してとか送られたんちゃう? - みんなニコニコのアカウント消したほうがいいぞ
こんな無能企業だとまた流出するから - >>11
退会したけどまずパスワード再設定させられたのがクソだったわ - >>11
アカウント消してもずっと保存してそう - >>54
2010年あたりの就活生の個人情報も持ってたらしいからな
してそうというよりしているという前提で動かなかったらバカを見るやろ🥺 - フィッシングに引っ掛かるようなガチめな知的障害持ちにインターネット触らせるような業務させたらいかんやろ
シュレッダー係やらせとけ - これで被害者ヅラできるの面の皮が厚すぎんか🥺
- フィッシングサイトに釣られてる時点でガバガバガバナンスやん
- これどこの会社がセキュリティ組んだの?致命的な設計ミスやん
- ハッカーに「お前のところガバガバすぎるぞ」って異例の説教までされる始末
かなC - >>16
お説教系ハッカーは別によくいるぞ - 社員の一人がその気になればいつでも出来たということ
- N高特別授業
Nakamuraで学ぶセキュリティ・初級 - 一般社員の権限で色んな情報にアクセスできる仕組みが不味いのでは
- 馬鹿みたいな漏洩だな
- KADOKAWA叩いてる奴って泥棒に財布盗まれても自分責めるんやな
- >>22
財布と言うよりみんなから集めた給食費盗まれた教師、が妥当やね - >>28
なぜかその給食費の袋を持ち歩いて遊びに行ってる間に盗まれてた
まであるガバガバさ - とりあえず2回目おながいします🥺
- まともな企業ならフィシング詐欺程度でサーバー丸ごと乗っ取られるまでいかんわ
- 全サービスを落とせる権限ってかなりの上級社員やろ
どうなっとんねん - >>27
まともな会社ならそんな権限存在せんわ
本番端末をいじるときは常にその場限りのアカウントを発出する🥺 - ・同社、同社の一部関係会社および同社の一部兄弟会社の一部元従業員の個人情報
・同社および同社の一部関係会社の面接を受けた一部の方の個人情報ここらへん個人情報保護法違反になりそうなんやけど
なんで保持してたん?被害者ぶっとるけどだいぶ加害者よ - フィッシング詐欺程度で会社潰れるぐらい乗っ取られるガバガバセキリュティ
nakamuraは許されたん? - >>30
あっそれ情報の拡散に当たるんじゃね
まずいよ - >>30
あ〜あw - IT企業の癖にバカやん
- 情報セキュリティに対する認識が甘いのでは?
- ふむ、フィッシングに引っ掛かる社員が馬鹿なのでは?
- 中村出てこいよ
- エンジニアに焼きそば作らせてるからやろ
- なぜか高校生の個人情報まで入ってたのはハッカーもびっくりやろな
- 社員なんか
コンサルがどうのこうのって見たけど - 流失してごめんの一言すらまだないのか
- 一般社員のアカウントで何故かN高や採用の個人情報まで閲覧し放題だったってこと?
- >>43
共有サーバーに個人情報持ってきたんやろ、何かしらの用途で
まぁそれがアウトではあるけどな
個人情報保護法とかの観点で - >>43
無茶苦茶やん
てかセキュリティエンジニア募集してたけど採用情報の管理ガバガバなところにまともなセキュリティエンジニアは来んやろ - よかったフィッシングに引っ掛かった社員は許されたんだね
- 何が一部で衝撃だよ
アホなんかこいつら - 中村って誰だよ
全国の中村さんに風評被害になる - なんでN高のデータまで流出したんや?
- というかドワンゴが「入念に準備された攻撃の形跡」云々言うてたから
ワイはソーシャルエンジニアリング含むリアル攻撃食らいまくってたのかなと推測してたし同情してたんやけど
この報道でまったく同情する気が失せたしむしろ潰れてほしいと思うようになったわ🥺 - まだ粘着してんのかケンモメン
ホンマに犯罪者集団やな - >>51
本人の弁が事実なら犯罪的に無能なのはKADOKAWAだろうが😠 - >>51
何いってんだこのゲェジ - 流出した情報がこれでも半分という事実
- ゲェジはケンモメンやろ
潰れろとか自分が狂ってるの分かってないのかね - >>57
で、これが入念な攻撃の形跡なんや?こんな重要なところで虚偽報告を行う企業にマジで未来なんてないぞ😠 - どんなフィッシングに引っかかったのか気になる
KADOKAWA「情報漏洩の原因は社員アカウントがフィッシングで盗まれたからでした。ハッカーマジ許せねぇ」
エッヂ
コメント