「顧客1万人のデータが漏洩してますよ、うちのサービスを使えば解決できます」
とセキュリティ会社から連絡がきたら、どうします?
米アトランタのがん検査機器の会社「LabMD」は、どうせセキュリティ会社「Tiversa」のセールストークだろうと思って使いませんでした。
そしたら脅しともとれるメールが何度もきて、しまいには米連邦取引委員会(FTC)に通報されてFTCから注意勧告が入り、その対応に追われてるうちにピーク時40人いた会社は営業停止になってしまったのです。
米国は州によっては情報漏洩対策法というのがあって、個人情報がデータ保護法違反のリスクにさらされた場合、顧客に通知を義務付けています。リークが表沙汰になるだけで中小企業は命取りなんですね。
まーそれだけなら「医療関連会社なのに社員のP2Pソフトから外にデータが漏れるなんて、セキュリティの脇が甘い会社だったんだなあ」(これは事実)で終わりなんですが、問題はそのデータを不正入手したのがほかならぬTiversaだということです。穴の存在証明には必要な手法かもだけど、それにしたって…なんかその辺の線引きって紙一重ですよね。
しかも今月この件でFTCで証言台に立った元Tiversa社員のRichard Wallaceさんが、「穴がもう塞がってるところまで漏洩先としてFTCに報告して、被害を大きく見せていました」と爆弾発言したもんだから、さあ大変。セキュリティ会社って他人の会社のデータを不正入手して、漏れてないところまで漏れた漏れたと騒いで、サービス買わないとお上に言いつけて潰すの!? こえーー!!! という話になってますよ。
同様のスキームは今回に限ったことではなく、2008年秋、大統領専用ヘリのマリーン・ワンの設計案が海賊版楽曲に混じって漏洩したときTiversaが「イランのIPアドレスにまでシェアされてる!」と騒いだが、あれも嘘だったとWallaceさんは証言。「警察がとっくの昔に対応して、問題のファイルはオフラインに取り下げた後だった。ところが後になって気づいたボラックCEOが、もっと騒ごうぜと言って報道機関に連絡して、いつの間にかイランのIPアドレスで見つかった話になっていたんですよ」と語りました。いや~設計を請け負った会社にとってはいい迷惑ですよね。
当のTiversaのCEOは、「商売なんて滅相もない」、「会社を首になった社員が腹いせに作り話をしているだけだ」と言ってますが、さて?
ちなみにWallaceさんいわく、LabMDのデータ漏洩、漏洩といいますけど、データの在り処は正確に言うと2ヶ所しかなくて、ひとつはLabMDのコンピュータ、もうひとつはTiversaのコンピュータ。「出元以外の場所では一切検出されていない」とのことです。
調査に乗り出した上院監視委員会がFTCに提出した書簡によれば、TiversaがFTCに通報した会社は「100社近く」にのぼるそうです。うち何社がフェイクだったのか? 真実はじき明らかになります。
Kelsey Campbell-Dollaghan - Gizmodo US[原文]
(satomi)
