F-Secure の対応がああなった理由とセキュリティ企業としてオワった点の考察

[F-Secure] ニュースと特集

11/4に公開したニュースについて、社内の調査結果の続報を以下の通りご案内致します。

エフセキュアの社内のお客様情報や業務上知りえた個人情報が外部に漏えいしたという事実はありません。

エフセキュアはフェイスブックやその他SNSに登録されている個人情報を保持しておりません。

エフセキュア製品が、エフセキュア製品をご利用のお客様の個人情報を収集することは、いかなる利用形態においてもございません。

エフセキュアでは、今回公開されたとされるリストは所持しておらず、内容も確認致しておりません。

なお、不適切なSNS利用があったとされている社員は、本人の意思により既に弊社を退職しております

本件についてご質問がある場合は info-japan@f-secure.com までご連絡ください。

…まぁ、予想通りの反応でしたね、しかし、「処分なし」ですか…セキュリティ会社としては一番やってほしくない対応だったんですが

そんなわけで、ちょっと、問題点や経緯をまとめてみましょうか


まずね。F-Secure Blog の公式にクレーム入れてる人たちの発言内容が、大人じゃなくて、ネットストーカーとかやくざみたいな発言内容だったのよね。

fsw
これ、本人にうまく言い逃れされちゃうんじゃないかってちょっと思ってた。
多分、私が上層部の人間で詳しい技術的な背景や彼の実際の発言、事情知ってなかったら、『ネットの失言で頭おかしい人たちに絡まれてるだけなのだけど、自分の発言の責任は取るので退職する』って言われた上で、これ見たら納得しちゃうと思う。

まぁ、セキュリティ会社なのに、そこら辺のリサーチ能力が欠如してる F- Secure が致命的にダメなんですけどね

F-Secureは日本ではほとんど法人向けなので、炎上してるのは本人だけと判断して、コンシューマー向けの影響は少ないという判断したから、トカゲのしっぽ切りで終わらせようという経営判断なんだろうけど…調査能力がクズ過ぎて笑えるってのが正直な感想。

次に、F-Secure の対応のまずい点について事件の背景や技術的な問題から考察してみよう

エフセキュアはフェイスブックやその他SNSに登録されている個人情報を保持しておりません。

エフセキュア製品が、エフセキュア製品をご利用のお客様の個人情報を収集することは、いかなる利用形態においてもございません。

ということなのだけど、 F-Secure はFaceBookのネットパトロール権限があるということになってる
Facebookがマルウェア対策を無償提供 - TrendMicro、F-Secureと提携 | マイナビニュース
まぁ、これだけ見れば個人情報に直接アクセスできる権限がないのは分かるんだけど、その他。例えば、特定のページにアクセスしたユーザーのログとかも見ることができなかったのかどうか、それを調査したのかが、上記の発表ではさっぱり分かんないんだな。
例えば、FaceBook内のページにアクセスした IPアドレスが抜き取れるのなら、会社のPCなどでアクセスすれば非公開の情報であるはずの勤務先を知りうることも可能だし、F-Secure 以外で他に自分の持ってるアクセス権によって同時間にアクセスしたIPアドレスから個人情報を特定して紐づけることだって可能だ。

日本スマートフォンセキュリティ協会幹部の人間がこういっており、

携帯からなら一発で特定。PCからProxyかましてても追い込みかけるよ。セキュリティ業界の総力あげるからな

社内でも思想によって便宜を図っていたと思われる発言をしているのは調べればすぐ出てくるはずなんですよね…。

闇のあざらし隊によるFacebook個人情報流出騒動について~ #ぱよぱよちーん を巡る攻防 - Togetterまとめ

お前がしばき隊だってばらすぞ」との香ばしいメンションをいただきましたが、 FBでとっくに公言しているので、同級生のほとんどや業界関係者、果ては取引先まで 800人くらいが既に知っているので、商談の場でしばきが話題になるくらいです。

今、取引先の営業の人と仕事の打ち合わせの話終わった後、 話題を選挙にふったら「共産、共産」で不在者投票してきたとのこと。 多めに発注したるわ

http://twitter.com/MetalGodTokyo/status/601668321277308928

以前勤務していた情報セキュリティ企業で、防衛省や警察庁とスパム対策に取り組んだのですが、 右翼から電話が掛かってきて「お国のためにやめて下さい」。
国防や公安の人たちとの仕事なのに「お国のためにやめて下さい」。お前らの「お国」って、小遣い稼ぎのことだろうと。

『以前』だからF-Secureじゃないのかもしれんけど

防衛省情報本部 2015年1月28日公募分決定
納地:市ヶ谷
パソコンソフト F-Secure アンチウイルスワークステーション 1年間保守更新 61ライセンス

なんだかなぁ…

とりあえず、マーケティングマネージャーがそういうことやってたんだから、内部にも同じような思想の人間がいて、営業取ってきた案件で 電設工事するときにそういう人間派遣した可能性だってあるんだから、履歴調べてみたけど、問題なかったとか、社内の人脈確認したり、本人同意の下で、メールも開示させて確認するなども行った上で確証取らないとダメでしょ。自宅に巨大アンテナがあり、ハムの資格があって北と通信行ってた可能性がある人間が防衛庁に出入りとか…なんだかな。

なのに、本人の退職依頼を受け入れて、無条件に諭旨免職とか一番最低な対応だったと思うよ

会社の名前は出してなかったけど、自分のコネを出して脅迫まがいのことを言った後で、会社がばれて冗談で済まなくなったわけだから、それだけの責任があるのに許されるってやばいと思う。

F-Secure ニュースと特集
エフセキュア、マイナンバー制度対策でエンドポイント型サンドボックス導入促進キャンペーンを開始 - PRTIMES企業リリース - 朝日新聞デジタル&M

こんな企業がマイナンバーのセキュリティ対策を司るなんて言ってるんだから、ブラックジョークもいい所じゃないかと思うんだが

こんな対応したことで、もう、日本から撤退すべき案件じゃないかと思うんだよね ・ω・

おすすめ

8件のフィードバック

  1. より:

    日本国民固有の情報のセキュリティを外資企業に委ねるのが嫌すぎです。
    いくら実績があろうが関係無いです。
    こういうのは本当に止めて欲しいっすわ。

  2. ななし より:

    恥の上塗りですね

  3. LAL より:

    続報です。
    F-Secure のトップページが真っ白に!
    他のページは見えるので、乗っ取りの可能性低く、
    会社ごと逃げる可能性が高い。

  4. yoka より:

    外資系企業なら会社の製品を守っても社員は守らないのは当然だと思います。
    エフセキュアに撤退してほしければ組織ぐるみの犯罪として立証すればいいんじゃないでしょうか?
    政府関係者との繋がりがあって左翼とも関係があってとこういう口が軽い人は口止めされて終わりな気がします。

  5. 黒翼猫 より:

    会社の信用を守るために、状況を把握するまで監査する責任がこの社員に対してあったって言ってるんですが、この社員を守れなんてどこにも書いてないよ・ω・;
    だから、もう、社会的にこの会社駄目だなという話なだけです

  6. ばななめろん より:

    まあ、セキュリティ企業以前に、法人向けの要注意情報(Internal Info)を取り扱ってるメーカーとしての在り方でみれば、今回の件は火に油を注ぎそうですね。
    個人的にも外資で直近お仕事してましたけど、非常に厳しい規制+会社に対して何か不利益があればすぐクビ、というのが契約書に含まれていましたから、そういう点は「上役であればなあなあにしてる」というところもあるのではないかと。
    どっちにしてもこういうところにセキュアなお話を任せようとは思いませんねえ。今後は製品選定やら提案の立場ですから、余計に Sensitiveになります(^^;)。

  7. yoka より:

    黒猫先生に対する反論ではないのでご安心下さい。守るかどうかなんて記事には無いですし。
    勿論記事には私は同意してますからエフセキュアの問題についてビシビシ指摘してくだされば良いのです。
    もっとこう不正アクセスにエフセキュアの管理権限が使用された形跡の有り無しやエフセキュア商品の欠陥を利用した形跡など会社として逃げが取れない状況が理想的です。

  8. アドウェア嫌いです より:

    >ネットストーカーとかやくざみたいな発言内容
    例の社員が言っていた言葉を面白がって書き込んでいる方々が多いかった。
    言われている通り「逃げ道」として利用されないかと私も懸念して見てました。
    かなり深刻な事件なので、こんな事でうやむやにされたら酷すぎます。
    茶化し一方的な批判するより、分析し判断をする事が大切だと思います。
    冷静な分析を拝見して納得できました。
    ありがとうございます。<(_ _)>

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です