Yahooから30億のメールアカウントを盗んだハッカーが5年の懲役と全資産没収
コメント
注目のコメント
※このコメントはいかなる所属機関の考えではなく完全に個人の意見です。
本件に関するオペレーションログはすでに公開されています。
それを見ればなぜ平文でパスワードを入手できたかもすべて分かります。
問題はそのようなハッカー同士のシェアの文化を理解しきれていないことにあるでしょう。
何人逮捕しても同じことです。
第二第三のケーパビリティを持った攻撃者は無限に存在する。
それは手法はすべて共有されるからです。
であればそのような情報にアクセスし、同等の攻撃から身を守るフローを確立せねばなりません。
そのフローが我が国にあるとは思いません。
そしてもう一つは、このような実名公開は極めて危険でしょう。
ハンドルネームで活動してきた、つまり匿名性を担保されながら活動してきたものと実名が急に紐づくのは最低限の権利を侵害していると思うのと、出所後のオファーが必ずしも白いものだけではないという点が注目すべき点でしょう。
加えて感じるのは今回攻撃に使用された脆弱性と、侵入されてから後の対応に過失があったか否かの判定への違和感です。
そりゃ攻撃する側が悪であることはそうでしょうけど、じゃあ何のためにセキュリティ要員を雇用してるんですかという話になりかねません。
セキュリティ要員はその対策への十分性に対して責任を持つことが求められ、経営層にはそこから上がってきた投資額を承認するか否かに、攻撃可能性を許容するか否かを考慮する責任があるでしょう。
そのような責任追及を行ってそちらも実名公表すべきじゃないですかね。
そんな人間雇いたくないのは当然ですし、ましてやその後どこかのシステム屋に就職して国のシステムなんて作られたらたまりません。
それがセキュリティクリアランスにより担保されていそうな米国はおいておくとして我が国にその被害可能性を回避する手立てはあるんでしょうか。
いささか疑問ですね。
あり得そうなプロセス名だったからと言って不振プロセスが上がっていることを検知できないのは過失だと思うし、もしそれが投資費用が出なかったために起こったのだとしたら投資しないと決定した役員は責任を取るべきだと思います。
どれだけの被害が出るか、表面化しないものも含めて計り知れないということを知るべきでしょう。