投稿者: kuni

アダストリア サイバー攻撃(その2)

昨日に続いてアダストリアの件。1/24の第2報を読んでいて少し気になったことを追記します。第2報の中の、原因究明とその後の安全対策に関する記述に関してです。

ちょっと矛盾した書きぶり

第2報の中で書かれている今後の対応について。「引き続き、外部の専門機関と連携し、原因や経路の究明を行う」としています、一方で、「現在、安全な環境の構築が完了し、停止していた社内業務システムの稼働を順次再開しました。休止しているWEBストア「ドットエスティ」についても、物流システムを再稼働し、安全性が確認できたことから、近日中に再開を予定しております」としています。

本来は、原因(脆弱だった箇所)や侵入経路を究明し、それが完了したからこそ、安全対策の構築が始まるはずで、ちょっと上記の説明には矛盾を感じました。引き続き原因や経路の究明を行う(まだよく分かっていないことがある?)、としながら安全対策が完了したといってるところです。なぜ不正アクセスを許してしまったかについては、書けなかったためこんな書きぶりになったんでしょうかね。

確かにこういうケースでは、「システムの〇〇に脆弱性があり、これへの対応を怠っていたため、不正なアクセスを許してしまった。」みたいな、他の同様なシステムを持つ企業等への悪影響が考えられるような具体的な話(原因や経路)は開示しないように。といったアドバイスを専門家や警察から受けている可能性はあるかもしれません。

であれば、「原因や経路等についての究明は完了しておりますが、他の企業等への影響を考慮し、開示は控えさせていただきます」、みたいな書き方はあったと思うんですけどね。

アダストリア 個人情報104万件流出か

アダストリアは1/24、「当社サーバーへの不正アクセス発生について(第二報) お客さまの個人情報流出の可能性に関するお知らせとお詫び」を公表しました。同社が管理運用するサーバーが第三者による不正アクセスを受け、約104万件の個人情報が流出した可能性があるとのこと。

アダストリア

アダストリアは、カジュアルファッション専門店チェーン。主力ブランドに「グローバルワーク」、「ニコアンド」、「ローリーズファーム」等があるんだそう。20~30代向け女性をターゲットとした複数ブランド店アパレルに加え、生活雑貨や化粧品、飲食店など多様な分野で事業を展開する企業です。合計1,544店舗を運営しているといいますから、かなりの規模ですね。

不正アクセスの概要

1/18に不正アクセスを確認し、19日には第一報を公表しています。その後、外部専門機関の協力のもと、影響範囲の特定、原因や侵入経路の調査、復旧作業等の対応を開始し、既に警察へも相談しているとのこと。

そして、24日の第2報で、「サーバー等に保存されているお客さまの個人情報流出の可能性を完全に否定できないことが判明した」と公表しました。流出した可能性があるのは、「個人情報 1,044,175件(氏名・住所・電話番号・メールアドレス・会員識別番号)」だそうです。クレジットカード情報などの決済情報は含まれていないとのこと。

しかし、電話番号やメールアドレスが流出していると、該当する人は大変なのよ。漏れた情報はどこかで売買等され、それを手に入れた悪党から、毎日のように身に覚えのない「取引等を確認してください」みたいなフィッシングメールが届くようになります。コレ、マジでシャレになりません。

世紀東急工業 株主代表訴訟 控訴棄却の判決

世紀東急工業は1/30、「株主代表訴訟の控訴審判決に関するお知らせ」を公表しました。道路舗装に使うアスファルト合材の価格カルテルを結んだとして、公正取引委員会から課徴金納付を命じられた事件でしたね。その当時の取締役4人が株主から訴えられていました。

一審の判決

昨年3月、東京地裁は原告であるストラテジックキャピタル(株主であるファンド)の請求を認め、4人に最大で計約18億3,000万円を支払うよう命じました。地裁は価格カルテルの存在や内容を認識していたと指摘していました。

4人の元取締役はこれに対し、原告の請求を認容した⼀審判決を不服として東京⾼等裁判所に控訴を提起していました。世紀東急としても、原告株主の請求および⼀審判決の内容は、いずれも誤った事実認定に基づくものであり正当な理由がないと判断していたようです。

控訴棄却の判決

しかし、ダメでしたね。判決は、「本件控訴をいずれも棄却する。控訴費⽤は控訴⼈らの負担とし、補助参加によって⽣じた費⽤は控訴⼈ら補助参加⼈(世紀東急のこと)の負担とする。」となっています。いやいや、18億ですよ。18億。

そういえば、この訴訟の原告であるストラテジックキャピタル、先日、日証金(日本証券金融)を訴えてましたよね。執行役に対する過剰な役員賞与及び業績連動報酬の支給が焦点になってましたが・・・。こちらはどうなりますかね。

「本日の一部報道について」  という不思議な開示

コンコルディア・フィナンシャルグループは1/26、「本日の一部報道について」を公表しました。「本日、一部報道機関において、当社の子会社である株式会社横浜銀行が株式公開買付けを通して株式会社神奈川銀行を完全子会社化すると報道されましたが、これは当社の発表に基づくものではありません。」という内容です。

メディアが勝手に?

一部の報道機関で〇〇と報道されましたが、これは当社の発表に基づくものではありません。〇〇を検討していることは事実ですが、当社として現時点で決定した事実はありません。今後開示すべき事実が生じた場合には速やかに公表いたします。最近こういうの多いですよね。

「今後開示すべき事実が生じた場合」というのは、正式に自社の取締役会で決議した場合を指しているんですが、なぜ故取締役会決議事項を事前にメディアが報じることができるのか。って、不思議に思ったことありませんか。

なんとこれ、〇〇という情報が取締役や経営幹部等からメディアに洩れてることがほとんどなんですよね(もちろんスッパ抜きってのもあるけど)。経営陣が意識してメディアに漏らしているケースもあれば、会社の意に反して、取締役の一人がコッソリ伝えているなんてケースもあります。

kuniは以前、どうも決議事項がメディアに洩れてしまっているという状況が続く企業で、「いったい誰が洩らしてるんだ」って感じで魔女狩りが行われていたのを経験したことがあります。無事に見つかって、当該取締役は「一身上の都合」ということで退任されましたけどね。

投資家目線で

こんなふうに会社の事情が事前に洩れてしまう傾向のある企業は、投資家目線では気を付けておく必要があります。インサイダーとか、その気になればやり放題ですからね。要するに経営陣のガバナンスに対する感覚が緩い、鈍いということです。何が起きるか分かりませんよ。

日本へのサイバー攻撃 3年間で倍増

少し前になりますが1/22付け日本経済新聞の1面に、「サイバー攻撃、日本に矛先 攻撃数3年で倍増 対応丸投げ、脆弱性放置」という記事がありました。あれだけランサムウエア攻撃などを受けた企業のニュースが流れるなか、日本企業の対応の遅さはいまだに解消してないようです。

3年間で倍増

記事で取り上げていた「3年間で倍増」というのは、「警察庁が公表した22年1~6月に検知された不審なアクセス通信」のことを指しているようで、実際に被害につながった件数ではありません。防御ができているから被害に繋がらなかった不審なアクセスも含んでるわけですね。

とはいえ、狙われてるのは事実

記事の書きぶりがやや誤解させそうなものとなっていますが、日本企業への攻撃は今後も増加すると思われます。記事では「IT(情報技術)開発のベンダーへの丸投げが多く、サイバー防衛への当事者意識が希薄」であることをその要因として指摘しています。この点については異論はありません。

では、丸投げせず、当事者意識をしっかり持つ、、、ためには何が必要なんでしょう。これは前にも書いたことありますが、システム関係費用をコストと考えないということに尽きると思います。これ、今の世の中、コストではなく「最重要な資源」と考えるべきなんです。

コストと考えるから経営は「削減」という方向を意識(検討)しますが、経営目標を達成するための重要な資源という認識になれば、「投資」を意識することができるでしょう。そうすることで日経が指摘する当事者意識も向上し、ベンダーへの丸投げを止めて、自社でのシステム要員育成といった方向付けも可能になります。

ということで、DXしかり、サイバーセキュリティしかり。経営陣の意識(コストから資源へ)の改革が一番重要ということです。