[196786]「身代金」に「初動対応」、“KADOKA

( 196789 ) 2024/07/31 17:18:24

Tag for ingestion URL.

0 00

サイバー攻撃により、システム障害が続くKADOKAWA。いつどの会社が同じような被害に遭ってもおかしくないという（撮影：尾形文繁）

大規模なサイバー攻撃に見舞われた、出版大手のKADOKAWA。同社は7月29日、柱の出版事業について8月から段階的に出荷数量の回復を見込むと発表した。子会社のドワンゴでは、6月8日以降利用できなくなっていた「ニコニコ動画」などのサービスを8月5日から再開するという。

長期間のサービス停止に伴い、ドワンゴは6～8月度のプレミアム会員の月額会員費などを返金する方針だ。漏洩された情報の確認作業も進めているといい、いまだグループ全体における被害の全容は明らかとなっていない。

【写真】”ホワイトハッカー”の福森大喜氏。インターポール（国際刑事警察機構）でサイバー犯罪捜査などに携わってきた

突然のサービス停止、経営陣の動画での謝罪、そして情報流出に至るまでの様子が、センセーショナルに報じられた今回の事件。日本企業が教訓とすべきことは何か。

サイバー攻撃から企業などを守る「ホワイトハッカー」として活躍する、GMOサイバーセキュリティbyイエラエのGMOサイバー犯罪対策センター局長、福森大喜氏と、日本ハッカー協会代表理事の杉浦隆幸氏に話を聞いた。

■今回の事件が世の中に知らしめたこと

　――KADOKAWAがサイバー攻撃の被害を受けてから2カ月近く経ちますが、今も完全復旧には至っていません。

　GMOサイバーセキュリティbyイエラエ GMOサイバー犯罪対策センター局長福森大喜氏(以下、福森) 今回は身代金を一部払ったと報じられているが、攻撃者から(暗号化されたデータを)復号するための鍵は戻らず、情報も公開されてしまった。自分たちでゼロから復旧しないといけないから、時間はかかるだろう。

　KADOKAWAの事件は世の中に対して、1つの教訓となった。報道が正しければ、今回身代金で5億円近くを払ったのに、データは戻っていないわけで。身代金を払ったところで、それだけの見返りがないということを多くの人が知ったのではないか。

　数億円を払って一か八かの賭けに出るというのは、分の悪いギャンブルのようなもの。割に合わないだろうって、冷静に考えればわかる。でも慌ててパニック状態になると「もしかして自分はこのギャンブルに勝つ確率があるかも」「戻る可能性が少しでもあるなら試してみたい」と思いがちだ。

　攻撃を受けた場合、身代金の要求にはこういう対応をする、社内のサーバーはこういう手順で復旧し、どの部署が動くようにする、などといったシミュレーションを日頃から行っておくことが重要だ。

　――そもそもなぜKADOKAWAが標的となったのでしょうか。

　福森ハッカー集団はKADOKAWAに狙いを定めたというより、たまたまKADOKAWAが入れる状態だったからだろう。

　例えばオンラインサービスが主力商材の企業は、サイバー攻撃によりサービスを停止させられるなどしたら、ビジネスの継続が困難になって致命傷を負う可能性がある。

　では、オンラインサービスを主力としている企業だけがサイバー攻撃の標的になるかというとそうではない。ランサムウェアでいうと、攻撃者としては身代金を払ってくれればどこでもいい。業種や業態、規模を問わず、攻撃が刺さればその企業に攻め入っていく。

　――KADOKAWAの防御体制が甘かった、ということでしょうか。

　福森現時点では、既知の脆弱性(セキュリティ上の欠陥)を突かれたのか、「未知の脆弱性」(アプリケーションやOSなどに存在する、ベンダーが認識していない脆弱性)を突かれたのか、原因が公表されていないのでわからない。例えばKADOKAWAがパッチ(修正プログラム)を当てるのが遅かったから、被害が拡大したのか。あるいはパッチは最新版にしていたけれど未知の脆弱性にやられた、という可能性もある。

　いつどこの会社が同様の被害にあってもおかしくない。攻撃者は攻撃の仕方を日々研究していて、ベンダーがパッチを出したらそのパッチを解析し、どこをどう攻撃すれば成功するのかを24時間体制でウォッチいるような状況だ。

　どの段階でKADOKAWAが気づいたのかわからないが、データが暗号化される前にマルウェアを見つけられるケースも多い。いちばん大切なのは、気づいたら暗号化されないうちに被害を食い止めることだ。

■被害を抑える2つの事前対策

　――日頃からどんな手立てを打っておけば、被害を最小限に抑えられますか。

　福森 1つは社員の端末にセキュリティ制御の仕組みを入れて、不正なプログラムを検知した時点で、ネットワークから自動的に隔離できるようにすること。そうすれば、ファイルサーバーには感染が広がらず、被害をその1台だけで食い止められる。

　もう1つは、(サイバー攻撃で狙われやすいとされる)VPNがどこで使われているかを会社が把握しておくことだ。

　リモートワークが浸透して、各部署が勝手にVPNを使い始めているといったケースが結構ある。本社はしっかりしていても、海外の小さな支社がVPNをきちんとアップデートしていなかったという事例も多い。VPNを使うときは、どの製品のどのバージョンを使用しているかを把握し、新しいバージョンが出たときには24時間以内にアップデートする、などといった資産管理を徹底しないといけない。

　また、よくあるのが、怪しいファイルが来たときに社員が勝手に消してしまうこと。消してしまうと専門家が後から調査できなくなるので、怪しかったら消さずにシステム管理者に連絡する。なりすましのメールが来て、それを開いてしまったときにどういう対応をするか、などといった日頃の訓練は役に立つだろう。

　――KADOKAWAの初動対応をどう評価していますか。

　日本ハッカー協会代表理事杉浦隆幸氏(以下、杉浦) 侵入されていることに気づきながら、追い出しきれなかった点ではだめだった。2カ月近く事業がストップしていることも考えると、重症度は高いと言える。

　KADOKAWAは自社でシステム基盤を作っている。技術力はあるものの、セキュリティとシステムは違う。とくにバックアップ体制を作るのは専門家でないと難しい。セキュリティにはあまり力を入れていなかったのだろう。

　システムを外注していれば、ある程度バックアップ体制が作られることが多い。バックアップ体制が取られていれば復旧はもう少し早い。昨年、ラスベガスでカジノホテルを運営するMGMリゾーツが大規模なランサムウェア攻撃を受けたが、バックアップを取っていたので復旧は早かった。

　今回攻撃を受けたKADOKAWAの仮想化基盤には、ヴイエムウェアの製品が使われていたとされる。ヴイエムウェアは昨年のブロードコムによる買収後、無料だった製品が有料化されたり、受発注業務が滞ったりしており、さらに脆弱性も発見されていた。この脆弱性も放置されていたのではないか。

　ハッカーは反社やテロリストではないので、身代金を支払うこと自体は違法行為ではない。グローバルでは払われることが一般的だ。ただ、払ったことは公言されない。いくら払ったと言うと、無駄に(サイバー犯罪の)業界を刺激してしまうからだ。

■国内では専門家が足りていない

　――日本企業のサイバーセキュリティ対策に課題はありますか。

　杉浦堅牢なシステムを作っても、それ自体がお金にはならず、事件が起こらない限りは評価されない。セキュリティ対策をすることで例えばテレワークができるようになるなど、利便性を向上させることができる。このような形でセキュリティ対策はきちんと価値を生んでいるはずだが、間接的なのでわかりにくい。

　どのようなセキュリティ体制を取るかについては個社の判断だが、上場企業でも非IT系企業を中心に、そういった判断をできる人がいないケースは珍しくない。最初はバックアップをきちんとやっていても、年々おざなりになって(サイバー攻撃後に)復旧できないことも多い。

　ただ、経営者がきちんとニュースや情報に日頃から接していれば、危機感は持つはずだ。あとは専門家の数が重要だが、セキュリティの専門家は足りていない。アメリカでは余っているほどだが、国内では待遇が良くないわりに、資格の維持にお金がかかるという背景がある。

　――KADOKAWAの事件を受けて、日本企業はどのようなことを教訓にすべきですか。

　杉浦インターネットにつながっているものはすべて狙われる。上場企業や、従業員が1000～2000人規模の会社なら、1人は常勤のセキュリティ担当者を置くべきだ。そして、その人の判断と責任でシステムやネットワークを止められる権限を持たせることが重要だ。

　KADOKAWAの場合はシステム基盤がとても大きいのでさらにその必要性は高かった。それが機能していれば、暗号化される前に止められたはずだ。ただし、体制を整えてもすぐに成果は出ない。最低2年くらいはかかるだろう。

( 196790 ) 2024/07/31 17:18:24

Tag for ingestion URL.

0 00

・今後大きな情報漏洩があった際の手本になりますね。まずはどういう状況かを外部に公表しなければ、叩かれる度合いは軽度で済むし、漏れた情報を拡散となったら法的措置を言えば良いとなりましたね。

記者会見や情報公開をしたら、株主代表訴訟で賠償させられる可能性を高めるからしないのかなと思ってしまいますね。取締役の内部統制の構築義務違反で、巨額な賠償請求が出るはまずいから黙ってようとなっているかもしれませんね。

・情報セキュリティは対策を徹底的にしようとすればそれこそ費用は青天井です

そのため情報セキュリティリスクマネジメントが重要になり、それに基づいて必要な対策を実施する必要があります

このリスマネが甘かったのか、適切なリスマネしていたが必要な対策が取れていなかったのか、パッチやアップデートが適切にされる体制ではなかったのか

そこを明らかにした上で改善に繋げて欲しいところです

・古い体質の上層部はセキュリティを軽視したまま利便性を追い求めがち、でテレワークだなんだでちゃんと整備が出来てないまま各部署が勝手に繋ぎまくって収拾がつかなくなる。まあ、そんな感じのところが狙われそうだね。

・IT犯罪は捜査自体難しく、被害に対して罰が軽い。もし、病院やインフラが被害にあい、犠牲者が出たとしても何も出来ないのでは話にならない。はっきりとテロと認定し、身体の拘束、資産凍結や財産の没収、あらゆる権利を停止することを明言すべき。

・「事件の全容もまだ分かってない」

「事件の全容が公表されたら」

残念ながら多分「事件の全容」はわからないのではないか。(犯人側にしか)

プライベートクラウドが根こそぎやられている。侵入時期、侵入経路など特定できないのではないか。

問題のニュースピックス記事は実は読んでない。見たくないからではなく有料だから。

けども全体的な対応が、犯人の手の上で転がされたような印象しか持てない。

国産クラウド、プライベートクラウド、何社かありますが、弱いところがやられたのではないか。

原因究明なき復旧は恐ろしいので、しばらく様子を見ようと思う。

・ランサムウェアにシステムを乗っ取られたことを隠してたのは、絶対に間違った対応。

その事実をスクープしたメディアを利敵行為と批判したのも何考えてんだか分かんないレベルで間違ってる。

詳細がわからない現状で…という言葉を見かけるけど、それはKADOKAWAが何も言わないだけで、何も言わなくてもわかることはいくつかある。

断定できるのは、システムのバックアップを安全な形で取っていなかった。

復旧に時間がかかりすぎてること、一部の機能の復旧を諦めたことで、これは言い切れる。

外部侵入できない形でバックアップするなんて、初歩の初歩の初歩だから、そんなこともやって無かった人たちが、ちゃんとしたセキュリティ管理してたとは思えない。

・大きな事件があるとサイバーセキュリティへの意識は高まる、一時的に。でもセキュリティのリスクを自社の経営層へ啓蒙したところで、インシデントとして顕在化していなければその必要投資額を見た経営者の多くは怯んでしまい、十分な投資は出てこない。結局セキュリティレベルは低いままっていう、いつもの展開。

・いくら資格をたくさん持っていようと海外で実績があろうと、

経営者側がその人に対して適切な権限と適切な報酬を与えてないとどうにもならない。

堅牢なセキュリティ対策って実際に何か問題が起こらない限りは無駄金に見えるし手間にしか思えないもの。

そういったものをグループ全体に強制できるほどの権限と報酬を与えられる企業が日本に存在するかどうか……

報酬が最高年800万だっけ？

グループ全体の極々一部のトップ程度のポジションと権限かな？

・この事件より前ですが転職サイトでセキュリティエンジニアとして紹介されてました

当方はセキスペや情報処理安全確保支援士他を保有しているのとこれまでのキャリアを考え是非ともとの事で話を聞いて見ましたが

自社のセキュリティを守ると言うより自社PRばかりだったのと専門職としてはう〜んな待遇だったのでお見送りしました

人材大事ですよ

・角川はマイナみたいに社内情報のネットワークを一元化したのが大悪手

そりゃクラッカーにしてみれば１つのメインを突破して制御奪うだけで

グループ企業全体を乗っ取れるんだからこんな楽な事は無い

この教訓はマイナを始めあらゆる情報の一元化へのリスクというのを実感すべき

完璧な壁は存在しない

日本はマイナカードに銀行口座を紐付けた場合銀行のセキュリティーも抜かれる可能性がある、という認識が大きく欠けている

国も企業も日本のマネジメントを行ってる層のセキュリティー意識はとても低い

・＞ハッカーは反社やテロリストではないので

この発言の意図は何だろう?

思うにハッカーは道具に過ぎない。

だから反社やテロリストに当たらないと言われたらその通りかもしれない。

しかし、その道具を反社やテロリストが使う可能性もあり、そうなれば「ハッカーは反社やテロリストではない」は通らなくなるでしょう。

それ以前にハッカーによる犯罪行為も反社会的行為だし、データ上とは言え破壊行為があればテロリストとやってることは変わらないでしょう。

ホワイトハッカーがこのような認識でいるのでは一般企業のセキュリティ対応が甘くなるのも仕方のない事と思われかねない。

・近頃、角川がユーザーに全面保証を約束した

有名関係者には早くから約束していたようだ

損害を覚悟した一般ユーザーも

この対応を驚き歓迎した

これにより流れは変わり、

セキュリティ面の反省を促す声より

角川の経営を心配したり同情の声が増えた

セキュリティ社員増員も

高待遇で募集を行っています

角川の損失は莫大であり自分も心配する

また日本の治安はよく

水と安全は安価に見えても

世界は犯罪者や犯罪組織がとても多く

世界とつながるネットの恐ろしさを

日本企業や日本人が改めて理解したと思う

・誰にも彼にもroot権限を与えてるからプラーベートクラウドのサーバーがクラックされるなんて事態が起こるのよ。

そんな権限を与える必要があるやつなんて数人なはずで、VPNでアクセスできるユーザーにそんなものを与える必要なんて皆無だし、とにかくアクセスできる権限を細分化して、そいつが必要とする以上のものにアクセスできないようにすることだね。

でもそうすると業務効率が落ちるから、だんだん形骸化してって、またクラックされる、っていうパターンの繰り返し。

・「身代金を支払うな、テロに屈するな」という意見をオーサーコメントでも見ますが、近年のランサムウェアは元の解除キー無しで暗号化を解くことはほぼ不可能です。捜査機関に任せても逮捕の可能性は低く、仮にできても長い時間がかかります。

会社の機能が停止する被害を受けた時に、「メンツと世間体のために会社を潰してもいい」という判断ができる経営者が現実的にいるのでしょうか。

・カドカワはphpを使って自分達でシステムを組んでいた。

そればかりかヒヨコエンジニアがphpを使って組んだシステムの技術発表会までしていた。

phpはblazorなどと違い、危険なコードも当たり前に書けてしまう。

特にsql injectionの標的になりやすい言語だ。

自分達のシステムがphpで組んであることをバラしているので、あとはカドカワのシステムを片っ端から総当たりでphpの脆弱性をついていけば、対策していないシステムに辿り着くのは時間の問題だろう。

ハッキングにもそれなりの労力とコストがかかる。

phpで組んであり、かつ技術発表会で手の内を晒しているカドカワのシステムはハッカーにとって勝ち目の高い賭けだったろう。

環境的な制約でphpを使うしかないのなら、慎重にコードを書くエンジニアを雇用して2重にチェックするべきだ。

取り敢えず動くから良いで済ませてはいけない。

・素人だから分からないのですが

この手のハッカー絡みの詐欺？脅迫事件の場合

金を払えばホントにデータ等を戻してもらえるのですか？

そんなにハッカー側を信用して良いものなのでしょうか

何か確実に返して貰える保証とかあるのか？

幾つかの記事を読んでいるけど、その辺を書いてあるのは読めてない。

言われた金額を払っても1Gも戻らいなとか？

半分ほど戻って更に金を要求されるとか？

データ等、全て戻ってきたけど全世界にばら撒かれたとか？

KADOKAWAの様な立場になる事はないけど

自分だったら個人情報程度だから

諦めて1円も払わないかな？半ばヤケクソで。

差別と言われそうだけど

日本人だったら未だ信用できるかな？

交渉にも阿吽の呼吸がある様に感じるけど

日本人同士とは言えそりゃ～甘いわなw

・正直、CISSP、CCSPとか情報処理安全確保支援士とかを持っているようなIT担当役員がいるだけでも日本の大手企業ではレアケースだろうけど、そんなレベルでは攻撃に対して全く太刀打ちできないだろうと思う。

・流出しない情報はないことを前提に生きていないいけませんね。

個人情報保護法なんて信じちゃダメだしハッカーの前には何も役に立たない。

パソコン、スマホに入力された瞬間に誰にでも知られてしまう情報になってしまいます。

知られたくないことは頭の外に出さないか紙に残すか。紙に残しても写真撮られたら終わり。

・こう言う手法でやられました

このバッチを当ててなかったからやられました

被害者がやられた原因を報告する仕組みを作らないと

いつまでたってもセキュリティホールは無くならない

・恰も解決したように振る舞ってますが、コピーが簡単にできるデータは現在もBlackSuitの手元にありBlackSuitの気分次第で公開されるリスクが永遠に付きまといます。

仮にひそかに公開されて悪意をもった人に情報を利用されたとしても被害者はKADOKAWAが流出させた情報が利用されたことを証明することは困難です。

KADOKAWAは被害者面しているけど個人情報を保護する責任はKADOKAWAにあります。

・事件後、今後をなんでも解決してくれる万能のセキュリティ担当を800万円で募集してた点でお察しの会社

IT、セキュリティに正しい理解が無く、コスト感もわかってない幹部がのさばっているのかなと。

東京でここまでボロボロのセキュリティを作り直し、立て直しできる人探すなら桁が3桁万円者無理でしょー

担当増やすか、ベンダーつけないと仕事量多くてすぐ辞めるかもだし。

・某中堅IT部門「うちの会社はウィルスにかかったことりませんし」

俺「何で判るんですか」

某中堅IT部門「うちはファームウェアも頻繁にアップデートしているしOSのアップデートも義務化している。完璧です。　これまでもファイル暗号化されたことも破壊されたことも流出したこともありません」

↑これ、完全に間違っています。

まず、日本のネットワークの3割はウィルスに汚染されていると言っていい。

ネットワーク機器のメーカーが脆弱性に気づく→ファームウェアアップデートを行う→クラッカーが新しいウィルスを作るのいたちごっこが続いていて、ウィルスを完全に止めることはできない。

「かかっていない」のではなく「発症させても大した額を払えないだろう」と思われているから発症させていないだけ。

それなら気づかせないでバックコピーさせ続けて、大手のネットワークに感染したときに発症させたほうがよっぽど利益になるからである。

・世界中のこういうマルウェア詐欺の9割がロシアからのもの。

（NHKのテレビ番組「視点論点」でそう言っていた）

残りもほとんどが北朝鮮。

いずれも国家ぐるみ。

ロシアからの詐欺は詐欺用ソフトのパッケージに

あらかじめロシア語のサイトには使用できないようなブロックが

ついていて、もともとがロシア政府が外国のサイトを攻撃するよう

自国のハッカーに配布してるものと考えられている。

結論：ロシアの独裁体制が崩壊するまでウクライナを支援するべき。

こういうのは「やられたらやり返す」以外の手はない。

・もう国内企業のITにおける実力は評価できないな、ニコニコとか見てもオワコンでいまだに雰囲気が２０世紀止まりな感じが否めない、懐かしい気分に浸りたいならいいかもだけど、みんながみんなそうゆう需要じゃないからな。

・怪しいファイルを消すな、って机上の空論に思える。

ネットワークで渡すのもリスクあるし、毎回ローカルストレージに保存して、セキュリティ担当者に手渡しするとか現実的にできるとは思えないが。

・日本人の一部は身代金を払っても復旧しないという知見を得た。

しかしそれ以上に、海外の攻撃者に日本企業がホイホイ数億円の身代金を払うと知られてしまった。

日本で企業のセキュリティを見る者としてKADOKAWAの対応は許せない部分がある。

・そもそも、ハッカーとクラッカーの区別もできていない事を知らしめるこんな記事を出す国だから狙われる。

マイナンバーが実用化し、キャッシュレスが進んでいる今、IT強化は本当に急務ですよね。

・これは読むだけ無駄な記事。

全容が全く判明していないのに犯人側の主張だけに基づいて偉そうに書いても意味がない。

それに、ニコニコ動画の開発協力もしていたひろゆきが流出データから内部犯行説を示唆している。

あくまで犯人はロシアのハッカー集団を名乗っているだけだろうと。

ファイル名の付け方も日本人的な英語の使い方、英語ネイティブではやらない命名方法、日本人でないと絶対に付けない日本の呼び方に基づいたファイル名などの存在を指摘している。

実際に起きた事は東銀座のサーバルームにあったプライベートネットワーク内のサーバへの攻撃だ。

プライベートネットワーク内のサーバの電源を切ってもリモートでそのサーバに電源が入れられて起動後に攻撃を再開される。

だからニコニコ動画は東銀座のオフィスを立ち入り禁止にして大元の電源を落として対抗した。

だから犯人を特定するまではニコ動としてもいろいろ話せない。

・初動は本当に終わってた。

KADOKAWAも被害者とか擁護する奴もいたけど、ザルなセキュリティ管理、漏洩が発覚してからの隠蔽、勝手に身代金支払い、結果流出。擁護できる要素がどこにもないんだが。

自分はニコニコユーザーで超会議も毎年行ってるけど、来年もし開催するなら「サイバー攻撃を乗り越えて今年も開催できました！」なんて安い美談はやめてね。ネタにするにはあまりにも被害者が多すぎる。

・ソフトのアップデートや、パスワードの適切な管理は、個人でもできる内容。リモートワークでは、特に自身の身分を守ることにもつながって来る。

・>ハッカーは反社やテロリストではないので、身代金を支払うこと自体は違法行為ではない。グローバルでは払われることが一般的だ。

そうなんだ！！(笑)　有識者が反論してるけど、こう言い切られると改めて凄い世の中になってるんだな。ロシアは国がバックについたほぼ公営っぽいし。

角川嗤うのは簡単だけど、明日は自分の会社だって狙われるかもしれないから、ホント他人事じゃない。

・うちの会社の競合である中小規模の商社もランサムウェア被害受けてた。

こんなマイナーな所まで狙われるんだ・・・って思ってたけど、単純にあちこちに網ばらまいてて、引っかかった奴がやられるという話なんだな。

・KADOKAWAって最近お騒がせニュース多い気がします。数日前にも、書籍売場にアダルト向けの掲示物が･･･とニュースになってました。

色々コンプライアンスなど社内的に問題があるのかな、と感じました。

・身代金を5億はらったということは北朝鮮にロケットを1発払ったということになります。

身代金型のランサムウェアは脅威ですが、企業の信用問題だけでは無く、テロリスト国家への加担なのです。

最悪、データ復旧だけでも対策を取る必要があります。

KADOKAWAは被害者ですが、後の加害者へとなり得るという事です

・初動以降どうしたかが一切報道されないが、だんまりを決め込むのはさらに良くないと思うし、追求しないメディアにも大きな責任があると思います。

・この企業もそうですが、日本企業の多くが馬鹿げたことを続けています。

いま世界的にネットワークコンピューティングが広がっています。googleとかamazonとかMSの提供するものであり、そういった企業と契約すれば、そもそもセキュリティは全部ついていますし、バックアップも付いていると思います。なぜ、自社サーバーを置くような前時代的なやり方を続けるのか理解不能ですよね。企業の経営者って勉強しない人が多そう。馬鹿ですね。

・確かにツノカワは被害者だけど、内定者の容姿を馬鹿にした文言を書いたり、個人情報を私的なパソコンに入れてたみたいだから同情は出来ないなー。

あんな情報が出たら社内の人間関係は修復出来ないだろうね

・KADOKAWAは世間に対して一切謝罪せず、

流出データを拡散、利用した者には刑事告訴、と脅している。

N高の生徒、ドワンゴ社員、作家のデータが流出しているが、

どのマスコミも流出が確認された人物を取材しない。

まぁ取材しているんだろうけど、記事化しない。

そんなにKADOKAWAを守るつもりなのか？もっと批判するべきだ。

かつてベネッセの個人情報が流出したときも、

週刊新潮は「DMが増える程度で大した事ではない」と書いていた。

さすがに今回の件についてはダンマリだが（笑）

・相手の言い値を払えば「こいつは金を持っている」と思われて要求がエスカレートします。

払わないのが１番ですが、払わざる得ない場合は値引き交渉しましょう。

・内容見たけど、専門家なのか？というレベルのコメントだったなぁ

その編の評論家と言ってる事変わらんなぁと

セキュリティ関連で気を付けなければいけないのは、自称専門家だったりするんですよね

・ネットの世界は、無法地帯ですか。このような犯罪行為を世界的なレベルでなくすような機関をつくってほしい。国家レベルでされると防ぎようがないですが。

・人が介在する以上どっかに穴は必ずできる

もう狙われたら奪われましたさーせんって開き直るのが一番ダメージ少ないのでは

・本来必要ではない個人情報を要求しておきながら、これだけのマヌケなことをされておきながら、ユーザーには何の保証もない

これが日本企業というものです

常に企業側がお客より上の認識で商売している

会社の社長ともなると金もあるので、庶民の金で企業が成り立っているのに、庶民をバカにして一生を終える

・＞＞ハッカーは反社やテロリストではない」と書かれていますが、不正アクセスを行い、社会に重大な損害を与えるハッカーは反社であり、テロリストです。

これを書いた偉い人は大学教授みたいだけれど、言葉の意味・定義を知らないのか、言葉の使い方を間違えているのか、両方なのか？

・途中で読むの止めた。

事件の全容もまだ分かってない状態で、犯人側の言ってることを鵜呑みにした上、好き勝手長文で書かれてた。

事件の全容が公表されたら、どうせこの記事ごと削除するんだろうと予想する。

・角川のミスは重要ポストに

中国人を配置した事。

世界でも問題になっているしね。

警戒はすべき。

個人的には要職者に置いていたのを知っていたから

絶対、個人情報は入れなかったけどね。

個人的にはやっぱりね。って感じ。

・"残した教訓"とか、なんで終わった事件みたいな見出しになってるの？

まだ、なにも解明も開示も賠償もされてないのに教訓もなにもないよね？

終わった事件みたいな『印象操作』するのはやめた方がいいと思うよ

・以前から日本は専門の技術者を軽視して金をやりたがらない話はよく聞くから、この事件もそういう面も原因かもなぁとか思ったりしてたけど・・・

大企業がこれだからなぁ

・来月１０日のアニメ雑誌発売までには、復旧しているだろうか…

この２ヵ月で自分が変わったのが、推しキャラが別の人になったので、

投票が変わる。

・勝手に締めくくるなよ！

まだ、流出の範囲と被害の内容、謝罪もユーザーに届いてないぞ。

流出に対する認識が甘すぎない？

・実際に在校生や卒業生に流出被害が出てるのに

さんま出演のＮ高等学校のＣＭを続けてる

企業姿勢に教訓だわ

・角川はハッカーの被害者ではあるけど同時に個人情報流出の加害者でもあることを忘れてはいけない

・KADOKAWAは当初ハッカーに打ち勝つとか言っていたが入られた時点で負けなんだからそこは認めるべき。

・普段夏野は散々アレはダメだとか否定してた割に自社を守れなかった責任は大きいよ。

仕方ないとはいかない。

・凄腕ホワイトハッカーの力を見たいので所属企業は攻略対象になる

金より自分の名声の為に動く探究者（ハッカー）はいる

・経営者が夏野さんとかカワンゴだからなぁ…。KADOKAWAに一切ミスはなかったとは到底思えないのよね。

・プロと名乗る割には復旧させられない。

日本大企業のITコンサルタントや

セキュリティ部門の現状を物語っている。

・ニコ生プレミア会員に返金したようにみせかけでその金は８月からプレミア会員の支払いに回します言われて終わりだった

・・・・・・・・・・思うんだけど

バックアップを常にとっておいて

ハッキングが起きたら

強制削除か初期化で良くね？

だってそれしかないでしょ

・内部犯行なんじゃないの？払った身代金が核兵器開発とかに使われなきゃ良いけど。

・基本を押さえても9割。1割残ればそのうち10割に戻る。将来に渡りいたちごっこという事。

・事件発生後の角川の企業としての対応も問題が大きい気がする。

・十分な金額払ったから情報流出収まったんでしょ

暗号化の鍵ももらってるよ

・個人情報漏れたけど、運営から謝罪も補償もしてもらってないです

・N高に関して言えば、いろんな発端となった例のNMさんはこれからどうすんだろうね

・仕事用端末は外部に繋げない。記録媒体禁止。

外部に繋げる端末は独立した回線でのみを徹底しても

必ずアホな奴がいてヤラかすw

・こんだけやらかししといて補償額3ヶ月は安すぎだろ

身代金払って隠蔽工作しようとしてたしな

・何故KADOKAWAなのかwwwドワンゴ麻生を標的なのかな?藤原氏であるが清和源氏ではない麻生内務省吉田茂VS大本プラスAlpha勢力www谷口雅宣にクリソツなのが竹田宮へ❢よう演るわなwww

・いつまで被害者面してるんだろうなKADOKAWAって

もう誰も同情してませんよ

詳細な説明まだですか？

・＞数億円を払って一か八かの賭けに出るというのは、分の悪いギャンブルのようなもの。

ギャンブルかどうかはKADOKAWAの財務状況によるだろｗ

・最近は会見すら開かずペラ紙1枚の文章で済ますのが流行ってるのな

・対策？？？？としては『Lineの様に情報漏洩は毎度のこと、だから誰も気にしない』と言う所まで持って行く

・こういうのに身代金を払うと、損金を税務署は認めるのかね？

・なんでKADOKAWAとは別法人のはずのN高生徒の個人情報が大量に漏れたのか考察してないじゃん

・カドカワ上層部がセキュリティ費用をケチった結果とどこかで聞いた

・捕まったら銃殺刑くらいのリスクがあればハッカーも減るんちゃうか

・強盗は玄関からじゃなくて

パソコンからやってくるのね

・情報セキュリティ関連だっけ？の求人出してたの見つかったのかな？？？？

・まだ何も解決してないよ。

被害者にどう責任をとるんだろ？

・情報流出したユーザーへの対応はどうなったのか？

・身代金支払うのが主流なんですね。しらんかった・・・

・教訓？強い者には媚び、弱い者には威張る者を信頼するなってことでしょ。

・全容がわかってないなら、この記事を出すタイミング悪いんじゃないの？

・完全にしてやられましたな。

日本企業のどこでも侵入できるんじゃないか?

・セキュリティをケチったりしてるからこうなった

・そろそろ簡単に犯人を突き止められるシステムをだな

・VMwareをヴイエムウェアって書くひと初めて見た

・KADOKAWAは何も解決できてないよ？

・逆ギレ対応のお粗末さという感じ

・多少不便でもスタンドアローンがええよ。

「身代金」に「初動対応」、“KADOKAWA事件”が残した教訓、凄腕ホワイトハッカーたちの日本企業への警告