ソニー情報流出事件で最悪なのは、従業員データの漏洩だ

次の記事

必読! 最新シリコンバレー・スタートアップ用語解説

Sonyハック事件はわれわれに多くのことを教えてくれた。企業メールは誰でも読めると思うべきこと。ハリウッドの人たちは他のあらゆる業界と同じくらい卑劣である(かつ人種差別的者かもしれない)こと。そして、チャニング・テイタムは興行収入で “TED” を越えることに極めて熱心であること。

そして最も耐えがたい教訓のひとつは、たとえあなたがネット上で自分を守るためにあらゆる手段を講じていたとしても、あなたの雇い主は、あらゆる面で自由放任にしているかもしれないことだ。これは、6500人以上の現役(および多くの元)Sony社員が現在置かれている状況だ。

GizmodoのBrian Barnettがこう書いている

「Sonyのキャッシュに残っていた中で特に痛々しいのが、リタリン(中枢神経刺激薬)を探す医者。妊娠しようとすることに関するメールもあった。同僚の陰口、さらにはクレジットカードのログイン情報等々。文字通り何千人もの社会保障番号も平文のまま置かれていた。毎日のメールに書かれた無邪気でありふれた内容でさえ、公開されれば醜悪に感じるものもある。サイバー焦土攻撃が、[ホラー映画の]『Babadook』を現実にした。

そしてその中の従業員2名が訴訟した ― 集団訴訟というべきだろう。Christina MathisとMichael Coronaは、連邦裁判所に対して、映画会社が従業員およびその家族のデータを安全に保つために十分な予防措置をとっていなかったとして、連邦裁判所に提訴した

訴状は、Sonyがネットワークのセキュリティー不備を承知でリスクを犯したと指摘するITブログ記事を参照している。そして、Sonyはリークした映画を守るために自らDDOS攻撃を使用したが、従業員データは守らなかったことも非難している。元従業員に対する情報提供の不適切さも複数挙げており、Sonyが12月2日の攻撃の後、無料でクレジットカードの監視を提供したが不十分だったことを指摘している。

Kashmir Hillが報じているよに、ハッキングが起きた時点で、Sonyの情報セキュリティーチームにはわずか11名しかいなかった

「本質的問題は、情報セキュリティーに関して、本当の意味での投資も理解もされていないことだ」と元従業員は言った。今回のリークで明らかになった問題の一つは、Sony Picturesのネットワークに置かれた重要なファイルが、暗号化もパスワード保護もされていなかったことだ。

ハッカーらが見つけた、Sonyのユーザー名とパスワードが入ったファイルは、”Usernames&Passwords”というファイル名だった。

Sonyの情報セキュリティー責任者、Jason Spaltroにいたっては、2007年のインタビューで、Sonyのセキュリティーの抜け穴を享受するかのような発言さえしていた:セキュリティー侵害の「リスクを受け入れることも正当なビジネス判断である。私は100万ドルの損害を防ぐために1000万ドル投資するつもりはない」と当時彼は語った。

今回のハッキングは、結局Sonyに1億ドルの損害を与えると推定される。最近同社が被った損害は、1.71億ドルだった。

原告団は陪審員による裁判を希望している。おそらく厄介で高額になるであろう公開裁判によって、他の鈍感な企業は情報セキュリティーは注意を払うようになるのだろうか。

アップデート:そしてまた第2の訴訟が起こされた。

Sony Pictures Entertainment Suit

[原文へ]

(翻訳:Nob Takahashi / facebook