ニコニコ大百科

阪南力→判断力ね。失礼

KADOKAWAの情報漏えい報道以降も、他で行政やらいろんなところで同じようなランサムとかの情報漏えい出てて、しかもそっちの方が人数多いんだけど、炎上しないし1・2日の報道で終わってるんだけどこの差はなに？

>>330
まず今回の事態を引き起こしたのはハッカーであり、責任を問われるのは彼らだ

そのうえで被害を受けた法人に追及されるべきは、攻撃事態を予測して十分に対応案を練り訓練できていたか、攻撃された際は訓練通りに対応できたか、事後対応(復旧や補償)に不備は無いか
ようはやることをやっていたのか、やっていなければなぜできなかったのかが問題であって、その検証が出来ていないうちに責任なんて取りようもないし取らせようもない
何も理解しないままただやめろという、この主張は無責任だ

あとなんか、辞任と共に説明も求めてるとか言っていたか
辞任が必要かどうか、その判断の為の材料として説明がいるのに、辞任という結果ありきでは説明の意味が無い
この程度の事もわからず、他人に責任を問うのか？まず自分の言動に責任を持つのが先だ
まあ、こんな場末の掲示板で言動の責任なんてものは常に希薄なものだがな

>>333
いやだからサイバー攻撃はハッカーでも情報漏洩に関しては個人情報保護法など情報関連で定められている管理を怠り、そういう杜撰な情報管理が原因でここまで被害拡大したのは明白なんだからドワンゴにも十分に責任あるでしょうよ。なんでそこごまかすんだ？　少なくとも10年にわたって処分しないといけない書類を保管してたのは事実なんだから。
あと、どういう説明をされようが、今判明してる情報からだけでも、25万人分の情報流出をした責任は誰かしらの首を差し出す以外あり得ないからそういう表現で書いたんだけど、無意味だの無責任だのいわれてもそれはドワンゴに言えよって話でしかないな。
そうじゃないというならどういうシチュエーションなら経営陣誰も辞任しなくてもいいか君説明できるの？

YwxDPzkMXOくん。さっきからなんか言うたび『よくわかるフランス革命＆ルワンダ虐殺のながれ』にしかなってないんで、一度社会について勉強したほうがいいんじゃないかな…

社会について勉強したほうがいいのはそちらでしょう。
フランス革命やらルワンダ虐殺やら極端な例をあげてるけど、事態の大きさを理解されてないようですねとしか言いようがない。
そういう例を出したから念の為言うんだけど、別にこっちは物理的に首を差し出せとかいってんじゃなくて、事態の結果に等しい経営責任を取れっていう当たり前のことしか言ってない。
長年ユーザーから散々セキュリティやサーバーを強化しろって声を無視し、その結果としてサイバー攻撃と情報漏洩を引き起こし、杜撰な情報管理の結果いたずらに被害が拡大する羽目になった。
、例えば適切な期間で不要になった個人情報を処分してれば、漏洩は防げなくとも人数はまだ抑えることはできた。それを怠って25万人分の個人情報を反社に引き渡す結果を招いたんだから辞職以外で償いようがないでしょうよ。
ましてや復旧までの経緯を感動ポルノに仕立て上げ、責任を全部ハッカーに押し付ける真似をしてるんだから尚更。

>>334
> 情報漏洩に関しては個人情報保護法など情報関連で定められている管理を怠り、そういう杜撰な情報管理が原因で

まずここが事実ではなく君の妄想だな
あるいは事実というなら、君の個人的な意見は一切いらない(価値が無い)から次の情報を提示してくれ

1) 情報保護に関する国や業界団体で定める基準・ルール
2) 今回攻撃を被った側で定めていたルール・対策
3) 今回攻撃を被った側で実際に行われていた対策
4) 今回攻撃があった際の実際の動き

なお提示の方法に関しては以下のように書式を定め、それ以外の提示方法は受け付けない
1) →(提示要求の回答となる情報の書かれたソース(URL、書籍等))
2) →(上に同じ) …
補足情報等の記載は一切不要
気になる箇所があればこちらから質問する

まあわかるわけないし提示もしないのはわかりきってるけどね
どうせ流出があった→対策が講じられてないから、という単純思考の結果だろうから

個人情報保護法19条の遅滞なく処分するよう努めなければならないという文言を、個人情報が不要になっても十年以上漫然と放置し、その結果情報を盗み取られても努力義務違反とは言えないという解釈が成り立つというならそれこそそちらの根拠を聞きたいんだけど。
同じ期間ないし近い期間放置して似たような結果を招いたとして義務違反の事実認定を認めなかった判例があるなら引き下がって妄想と認めるよ。
そんな滅茶苦茶な解釈が許されるなら努力義務が全部有名無実になるからあり得んと思うがな。

この点について、所詮努力義務でしかないから刑事責任は問えなくても、民事や経営責任として、起きた結果に照らし合わせて責任を取るべきだって主張がおかしいとは思えないな。

皮肉の内容わかってない時点で駄目じゃん…

同じようなことループしておけば正しいと思ってる…
バカ正直に言ってるところ悪いけどニコ百で言われてもどうしようもないんですよ

ごめん、ID:YwxDPzkMXOがなんでこんな袋叩きになってるのか分からない。突き詰めて言えば「ドワンゴのセキュリティ、個人情報管理の甘さが原因の一つこんだけの惨事引き起こしちゃったんだから責任取れ」っていう極めて真っ当な主張じゃん。

黒スーツが悪いってのはそりゃそうだけど、結果としてお漏らししたドワンゴ(というかKADOKAWA)が悪くないなんて話にはならんのよ。
原因はどうあれ大量の個人情報漏らしちゃったのは事実なんだからそれはKADOKAWAドワンゴの落ち度。それについてKADOKAWAドワンゴは責任を取り、再発防止策を講じなきゃいけない。
でもそんな姿勢見せてるか？見せてないだろ？
辞めると言わんまでもカッコだけでも「個人情報お漏らしして申し訳ございませんでした」って姿勢示せばほな、しゃーないなぁ…って言うこともできるのよ。
でもそういった反省の姿勢すら見せずに感動ポルノかまされちゃあ「いやいや、まず自分の責任取れよ」って言いたくなるだろ。

たった3ヶ月で検証と捜査が終わるとでも思ってるなら相当お花畑だと思われるが…
KADOKAWAも言ってたでしょ
捜査中の事案でコメントできないって


確かに流出規模自体はある程度情報は出てるけどそこからの報告書なりなんなりはまだ先の話
それともそれが出る前に幹部全員辞職しろと？

いや、だから漏れたのは確定だろ？その時点で捜査とか関係なくKADOKAWAドワンゴの責任は確定なの。なのに捜査中、検証中だから責任取れませんってのはそれこそ口先の責任逃れでしかない。
確かに「誰がどの程度責任があるか」ってのは警察検察が決めること。だから俺は夏野含め幹部連中に対して今すぐ辞めろとは言わない。
でもだからといって「はっきりしたことは分からないから何もしません」みたいな態度は違うだろ。繰り返すけど漏れたのは確定なんだから形だけでも反省しろとは思う。

エビテンまだ復帰できていないか

簡単な例を挙げるなら「AがBに刃物で刺された」という状況を提示された時、Aにも責任があると言っているのがYwxDPzkMXOやnPidwqgTWT
実際のところ、Aが挑発していたなど一定の責任がある「可能性はある」が、この例文だけ見たってわかるわけがない
なんならこの文だけではBが悪いのかもわからない、正当防衛の可能性がある
まあ今回の事案でBにあたるハッカー集団がしたのはサイバー攻撃だから、それが正当防衛と認められる可能性はほぼ0だろうけどな
とにかく、そこらへんの考慮が全く欠けているのは、わざとなのかマジなのか
まあ原因はなんにせよ、この段階で判断を下すのにロクな奴がいないというのは間違いあるまい

>>346
＞「AがBに刃物で刺された」という状況

これはちょっと正しくない。
今回の状況は「Aは客からCという荷物を客から預かっており、それをBに盗られた」。
この状況において、Aは荷物Cを守る「義務」がある。で、AにあたるKADOKAWAドワンゴの主張は「何が原因か分からないからコメントできない」。
でも何が原因かなんて関係ない。なぜなら上に書いた通りAは荷物Cを守る義務があり、その上で「Aは荷物Cを奪われた」という事実は揺るがないし、その一点をもって責任を取らなければならないのは間違いないから。だから「可能性」じゃなくて「確定で責任がある」なの。
この点においてBである黒スーツがどれだけ悪いかなんて関係ないんだ。
そこに目を背けてる今の姿勢は批評されても仕方ないって話

YwxDPzkMXOとnPidwqgTWTはとにかく流出したことが悪い！ハッカーはどうでもいいという論調なのか？


まだ流出経路もよくわかってないのに断罪は早計すぎるだろ
見つかったばかりの脆弱性から攻撃食らったなんて未確定情報もあるし
結局「警察の捜査中でコメントできない」が全てだろう
ここから警察が何かしらの逮捕なり送検なりするか
外部機関が対処できない脆弱性があったのか社内規定がそもそも前時代的だったのかを判断するのか
それだけの話よ

あと仮に補償があっても3504万件流出させたベネッセとかでもQUOカードとか図書カード送付だったしなぁ…

>>348
YwxDPzkMXOは知らんが俺は一連のKADOKAWAとドワンゴのムーヴに対して「なにお前ら被害者面してんだよお前らも加害者だろ」って感じてるだけ。
黒スーツが悪いなんて言うまでもない大前提。その上で漏らした奴も悪いってのが俺の考え。理由は>>347に書いた通り

あと、今のKADOKAWAとドワンゴの姿勢を許すのは害が大きい。
だって考えてみ？自分のいる会社があいつらの姿勢見て「ハッカーに攻撃されたことにすれば個人情報お漏らししても謝らなくていいしお咎めなんてないんだ！じゃあ個人情報保護法なんて守るのは馬鹿馬鹿しいよね♪」とか考えたら目も当てられないだろ。
だから表向きだけでもいいから「大変なことになってしまった」という認識と姿勢があるべきなんだ。それすらしない、できないのなら経営陣の処罰程度には痛い目を見てもらわないといけない。

>>343
別に三ヶ月で全部明らかになるなんて言ってないんだけど何ストローマンしてんの？　第三者の居る場で会見を開くって今までドワンゴが明白にしているならともかくそれすらいってねーじゃん。
こういう事態が起きたときは迅速に経営者がどうするか、事態の責任をどうとるか、分からないこともあるにしても釈明や弁明の場をもうけることをとりあえずでも明示するのが当たり前で他の企業や自治体はだいたいそうしてるよ。
ドワンゴは下手すればこのまま感動ポルノにしたまま経営や説明責任からは逃げて全部有耶無耶にするんじゃないかとすら思ってるし、そうする気なら絶対に許されることじゃないと思ってるよ。

>>346
例がそもそもおかしい。そんな一方的な責任で済む話じゃないだろ。ハッカーが流した情報とドワンゴが今までやってきたことを総合すればドワンゴにも責任があるのは明白で、せいぜいその軽重で議論があるにすぎない。
正当防衛の可能性もあるってマジで頭大丈夫か？　今判明してる情報でそれがあり得るんだったら情報通信事業者に求められる責任なんか全部ないのと等しくなるわ。

>>349
一応いっとくけど、私もハッカーに一次的な責任があることは別に否定してない。それはそれとしてドワンゴにも個人情報を預かる情報通信事業者としての責任があるだろっていう話でしかない。

ニコニコの何が不満で攻撃したんだよ
ちょっとホモビや宗教ビデオを元にしたMADや男娼のブログをAIに学習させた動画や
ゆっくり彰晃・大作・隆法だったりYouTubeでは一瞬で消された上九一色村物語のRTAがあるだけじゃないか！

正直、ニコニコ以外の配信サイトでも個人情報を書くのが怖い。

まあ正直この期に及んで経営陣側が今回の騒動を真っ先に美談にしているのはどうかと思うけどね

掲示板は復旧前の5ch並みにやたら荒れてるけど
記事自体はニコニコインフォの報告よりまとまってて読みやすくて良いな
ニコニコ運営も見習ってほしいものだ

一度youtubeに軸を移したから投稿されててもニコニコで見るという事が少なくなった

Youtubeはweb版もかなり使いやすいのが大きいからな。
Braveか他の広告アンチソフト入れてればアプリよりも快適に見れる。
一方、ニコ動はweb版の操作性は微妙、数年前の内部変更の影響でサードパーティ製のアプリがほぼ死亡という二重苦になっている。

おまけに淫夢リリースのせいで、ホモガキの間でも「コメいる？」という風潮になっているようだ。サイバー攻撃以前にﾔｼﾞｭｳｾﾝﾊﾟｲｲｷｽｷﾞｲｸｲｸｱｯｱｯﾔﾘﾏﾈ-シリーズがYoutubeで流行った影響も大きく、ホモガキの間ではBBやBB先輩劇場、淫夢実況への需要は低く、語録を適度に打ち込んだ完成度の高いAI生成歌に人気が集まっている。

ともあれ、アニメは流れるコメント付きで見るのが一番だ。

今回の件、Blacksuitの攻撃手法の分析ってどこかが出してるんかな？
Attack Surfaceとか使われたマルウェアがどこか？辺りは知っときたい所。

それはそれとして、この手の攻撃を防ぐにはゼロトラストくらいしか打ち手ないだろうし、KADOKAWA側でフィジビリティある打ち手を出せ、と言われると中々厳しそう。
ブラウンフィールドのゼロトラ導入とかどうしろっちゅうんや

>>351
今回の攻撃が標的型攻撃なのはほぼほぼ間違いないとは思うけど、基本的にサイバー攻撃のマーケットって
・金になるか否か？
・攻撃のフィジビリティがあるか？

この辺の要素でターゲットを選出する（Cyber kill chainでいう所の偵察段階）。なので、KADOKAWAを攻撃対象に選定した理由と言われると、金持ってそうで攻撃できそうだったからという理由だと思うよ。

なんにせよ任せっきりにするのは怖いな
余計な個人情報は置かんとこ

>>342
個人情報の管理がずさん、と言うのは確定だからそこは責められてしかるべき、という部分は完全同意。

問題はセキュリティ対策が甘い、という部分は正直対策どうすんの？という部分すな。現状取りうる最高のセキュリティってNIST-SP800-207で定義されているゼロトラストを概念レベル（エンクレーヴモデル諸々）から実装する事だと思うけど、そんなんどこの会社が出来んのよという話。
この辺詰めるなら業界標準のセキュリティポリシーに則っているか？が評価指標になると思うけど、ISMS準拠してない訳ないしなあ・・・