ライブコメントを表示

ライブコメント
コメントを非表示
VIDEO
2024年6月23日 公開

【検証】専門家は、KADOKAWAをどう見るか

サイバー攻撃により、ニコニコ動画(運営ドワンゴ)などの主要サービスが停止しているKADOKAWA。その裏で進む、悪質なハッカーによる金銭要求と、流出データを人質にした強迫行為に関わる秘密資料を入手。その実情をレポートする。

(取材:大酒丈典、後藤直義/ディレクター:柳橋泉紀/プロデューサー:小西健太郎)
出演者:
コメントする
Pick に失敗しました
人気 Picker
本特集の最大のポイントは、KADOKAWAのガバナンス不全(ハッカー側にお金を支払った可能性があること)です。

後編の今回は、その点について、サイバー攻撃のプロフェッショナルも交えて深堀りしていきます。

サイバー攻撃の被害を受けたとき、企業はどう対応すべきなのか。お金を安易に支払うとどうなるのか。一連の報道は、上場企業もふくめたガバナンス問題や、セキュリティの重要さを社会に届けるために、大きな意義があると考えています。

なお、昨日の記事に対し、ハッカーからのリークを一方的に報じていると事実無根のコメントがありますが、改めて明確に否定いたします。
NewsPicksもニコニコも応援しているので、心苦しいのですが、今回の報道に反発が相次いでいる最大の理由は「このタイミングで報じる意義は、どこにあるのか」というのがわかりづらいからだと思います。

脅迫者の要求に屈するというのは、さらなる犯罪を助長することになり、絶対に避けるべきです。

「身代金は、払うべきか」というサムネイルが印象的ですが、「払うべき」と考えている人は皆無でしょう。KADOKAWAが支払いに応じたとすれば、それは、あらゆる意味で問題があります。また、KADOKAWA内部の情報が出てきているのも、栗田穣崇COOの「支払う」という判断に批判的な人が内部にいるからではないでしょうか。

他方で、犯人側の脅迫は現在進行形で進んでいます。データの流出がどの規模なのか。どれだけの被害が想定されるのか。関係各所と連携しながら、対応を見極めるべき局面です。だから川上さんや夏野さんの異例の抗議ぶりも理解できます。

手に入った情報をいちはやく出す、というのはメディアの本質です。それに対する規制は論外です。ただ、微妙な局面で報道が先行してしまうと、大きなクラッシュを引き起こす恐れがあります。「報道協定」はそうした悲劇を避けるために運用されてきました。「人質事件とはまったく違う」とは、私には思えないのです。

事態が落ち着いてから、「事件の裏側を解説する」として報じるという方法もあったと思います。このタイミングで報じる意義について、もっと深く説明してもらえるといいのかなと思います。
取材をした人の多くが、「明日は我が身」と答えることが、とても印象的でした。それくらいに難しいのがこのセキュリティの問題。

だからこそ、もしアタックされた時に、どうやって動くべきなのか、どう準備するのか、苦しい選択でなにを優先するのか。それこそが、あらゆる企業がこの事件に学べることでしょう。人命を預かる病院が、どうサイバー攻撃と戦ったかという後半のケースは、非常に参考になります。

ニューズピックスは企業やスタートアップを真剣に報道するメディアでありたいと思っており、素晴らしいケースも、厳しいケースも報じるのは、真剣にやれば当然なことだと考えます。当然ながらハッカー側からの情報提供などはまったくありません。
半田病院の件が取りあげられており、比較的規模の小さな組織や企業も攻撃対象になるという点は、その通りで重要な視点です。日本の企業のうち、99%が中小企業。中小企業は、「うちには攻撃されてとられるほどの情報はない」と思ってしまうという意識の問題と、現実的な問題として予算がない、対応できる人材がいない(情報システム部門がない兼務情シスであったり、一人情シスという場合も)ということも少なくありません。

中小企業は、同時にサプライチェーンを成す存在でもあります。サプライチェーンに対するサイバー攻撃も重要なポイントとなっており、いわば継ぎ目と継ぎ目は「お見合い状態」になりやすく、より弱い方から攻撃して「本丸」にまで被害が及ぶというケースもあります。

一定の対策をしている企業ももちろん数多く存在しますが、完璧にリスクを排除することができないのがサイバーセキュリティ。できるだけ可能性を低減させ、それでもなお起こることを想定した対応、そして復旧というシナリオを用意しておく必要があります。

最近、私が書いた関連記事をご参考までに。
「中小企業こそ意識すべき情報セキュリティの課題」
https://note.com/josys0901/n/n6452f5c8dd43
「サプライチェーンにおけるクラウド活用、リスクの考え方とは」
https://note.com/josys0901/n/nad93b77eddca
「日本に目立つ、取引先から発生するセキュリティ被害」
https://note.com/josys0901/n/n8bfec048bb73

本件自体は行方をみまもるしかありませんので、ここから学ぶことがなにか、という視点で見ていきたいと思います。
この報道が犯人を利する事はないんじゃないかと昨日から見てて感じてます。

昨日今日と見る限り大規模な顧客データの流出があった可能性が高い、そして犯人側からの情報提供ではないと。
これが事実ではない場合はカドカワが怒るのは無理はない。
事実ではあるが、この報道がなければこの後追加のビットコインを送って確実に外部流出の可能性0の状態で元に戻る、というのを客観的に示せる可能性があったのであれば結果的に公益性がなかったという事になるんだろうけど、だとしたらカドカワ側から取材時点でその事を伝えていそうなものだし。

やったやつが悪いというのは当たり前なんだけど、被害にあったカドカワを更に貶めるなんて出来ない!みたいなのは忖度になっちゃうし。

面白がってる人がいるのは事実でそれはそれで気持ち悪いけど。

僕としてはパーソナルなゴシップとか、暴露系みたいなのとは違うと思ってます。

今の最大の関心は、過去にいわゆる身代金を支払って、完全な形で原状回復できた事例はあったのか(あとあとまた要求されるとか結局情報流出してるとかもなく)

昨日の記事へのコメントでは「支払ったのに原状回復がされないってなると今後の身代金の支払いに全く応じなくなる可能性があるからそんな事は以前はなかった」みたいなのも見かけましたが、犯人の立場を想像するとそんなの如何様にもなるわけで。
「僕たちはああいう汚い奴らとは違う。支払いさえしてくれれば後は紳士的に幕引きだ」とか言えば払う所はありそうだし。
んでもって今回みたいにすぐに決済できるであろう金額から始めて後に引けない状況を作って絞るだけ絞ると。

もしいつか同じ様な状況に自分がなった時はどうするか、身代金の支払いは一種のギャンブルなんだと教えてもらいました。

そして改めてNewsPicksの方にはこの姿勢貫いて欲しいと思いましたし、この事件に関しても長い目で追っていって欲しいと思いました。
そして報道の意味をもっと深く考える為にもこの報道の賛否を討論して貰うのも良いなと。
内部リークを中心におまとめになっていると言う点がポイントでしょう
攻撃者側の情報に依存してるならまだ悪態つけるけど、これは流石にという感じ。。。
本当にこの報道に対して損害賠償請求するの。。。?
支払い先のウォレットの動き追跡したら面白そうだけど。。。
昨日来から見て、改めて上場企業が身代金を支払った可能性があるという事態の深刻さを痛感しています。

もちろんKADOKAWA側にも言い分はあるでしょうし、実際に支払ったのならば苦渋の決断だったでしょう。

ただ、そのことを考慮したとしても、身代金支払いが事実ならば上場企業としてかなり問題です。直接のステークホルダーは現株主ですが、上場企業であるという以上、誰もが株主になり得るわけで、それだけ公器なわけです。

そもそもハッカーにデータを抑えられた段階で経営陣は結果責任があります。それだけでも問題なのに、さらに身代金支払ってしまって復旧に前進が得られず、追い銭を要求されたのなら責任は重大です。

もし、身代金でラッキーにも解決できていたとしても、その事実がKADOKAWAから公表されることはないでしょう。それはそれで株主への背信です、

昨日来、夏野さんなどの中の人が今回の報道を批判していますが、もし昨日の報道に身代金支払いの可能性があるというファクトが含まれていなかったら、どのような反応になったでしょう?率直に言ってあのような反応にならなかったのではないでしょうか?

「身代金を支払ったことを報じれば、犯罪を助長しかねない」という主張はあるでしょう。でもそれ払う側がいるから助長されるのです。

今回の件、身代金を支払ったという前提で、もし第一に非難される対象がいるするならば、それはハッカーの侵入を許し、上場企業にもかかわらず株主から預かった資金の一部を犯罪者に身代金として渡し、身代金を渡した結果でも何も得られなかったKADOKAWA 経営陣であって、NewsPicksではないと思います。

オリジナル番組ラインナップ

音声番組ラインナップ