Infostand海外ITトピックス

過去最大のハッキング事件公表 サービス売り込みもセット?

弱みに付け込むのはルール違反

 報告と同じ8月5日付で報じたNew York Timesによると、Hold Securityの創業者兼CIOのAlex Holden氏は、CyberVorのハッキングをWebサイトで報告した理由について、被害に遭った企業には警告をしているが、すべてのWebサイトに連絡をとることは無理だとの判断から公開に至ったと説明している。実際、セキュリティ欠陥が修正されずそのままのところも多いという。

 おりしも8月はセキュリティ関連のイベントが開かれており、セキュリティへの関心が高まっているところだ。Holden氏も8月2日から7日までラスベガスで開かれた「Black Hat」に出席していた。

 ところが、Hold Securityのやり方への批判の声がわき上がった。Forbesは、Hold Securityが月額120ドルでサイトがハッキングの影響を受けていないかを調べるサービスの提供を開始したことを指摘した。「漏えいした電子メールアドレスや攻撃されたサイトが明らかになっておらず、不安感をあおっている」「どのサイトが攻撃されたのかわからないから、どのサイトのパスワードを変更すればよいのかわからない」と述べ、Hold Securityが不安をあおってパニックにつけ込んでいると非難した。

 Business Insiderはパスワード管理サービスLastPassのCEO、Joe Siegrist氏のコメントを紹介する。「(データが不正に収集されているなど)このようなデータを得たら、ユーザーを助けたいと思うのが普通であって、それを元に収益を得ようとはしないはずだ。確かにちょっと疑わしい行為だ」。

 同じくサイバーセキュリティ企業CrowdStrikeでCTOを務めるDimitri Alperovitch氏は「こうした漏えいが判明した場合、被害に遭った企業に通知するのが常で、課金することはない。(Hold Securityの月額サブスクリプションの提供は)どう考えてもおかしい」とWall Street Journalに述べている。セキュリティ業界では、セキュリティ情報を得たら助けるのが基本であり、弱みに付け込むような行為はルール違反になるからだ。最大規模のデータ漏えいを報告すると同時に、新サービスを売り込んだHold Securityのやり方は反感を買ったようだ。

 Re/Codeは一般ユーザーに「パニックになるな」と呼びかけた。米国の場合、顧客データが何らかの形で漏えいした場合は、多くの州で顧客に通知しなければならない法律があり、個人データが安全ではない場合は企業や政府から通知があると説明している。

 さらには、Hold Securityの調査結果の信ぴょう性自体に疑問を投げかける声もある。PC Worldは、5つの疑問として、「12億件のうち、CyberVorが最初に闇市場で購入した個人情報がどれだけあったのか」「そのWebサイトが攻撃にあったのか」「ハッカーは不正取得した個人情報を何に利用しているのか」「パスワードは暗号化がかけられていたのか」などと、Hold Securityが明らかにすべき不明点を挙げている。

 多くのメディアがHold Securityにコメントを求めているが、回答は得られていないようだ。Wall Street Journalによると、Black Hatに出席していたHolden氏は取材への回答を避けているという。

(岡田陽子=Infostand)