積水ハウス 住宅所有者向けサイトで個人情報漏洩 サイバー攻撃か
https://www.asahi.com/articles/ASS5S35X9S5SPLFA006M.html
>
サイバー攻撃と言っても色々ある。サイバー攻撃と言う言い方で済ましていたら、まだ様子を把握できていない可能性がある。
情報事故の多い企業と分かる。表に出ていないものも当然ありうる。ガバナンスの緩い企業。これは経営陣の問題だね。
>
最近は漏洩したアイディーとパスワードを使って手当たり次第にサイトアタックする手口も常套手段になっている。
積水ハウスから漏洩したアイディーとパスワードで他のサイトに不正ログインが行われる可能性は極めて高い。
今時はパスワードの使い回しは御法度と理解していても、以前は普通に行われていた。
>
積水ハウスの罪:
ユニークパスワードへの更新を登録ユーザーに警告していなかったこと。
- 情報流出がなぜわかったか?。
- 流出はいつだったのか?
- 何故流出したか?。
- どのような対策をしたか?。
何一つ公表していない?。
>
クレイジーなパスワード確認サイト
積水ハウスのITリテラシーの低さに驚いてしまう。
パスワードお試しサイトを作っていた。これはと思うパスワードを入れてマッチングさせるもの。ピンポーンとなったらそれが流出パスワードです。他のサイトでそのパスワードを使っていたら直ぐに変更してください。という目論見のものだ。
色々なパスワードが底のフォームに書き込まれてマッチぐサイトのサーバーに送られる。下手すると既に流出したパスワードの何倍にもなる。
お試しは10件までと制約を付けているが、申請すればもっと増やせるのかも知れない。
いずれにしても機密情報のパスワードが流し込まれるサイトを作った訳だ。このサイトをハッキングされたら。リアルタイムでなくてもマッチングログ情報でも構わない。
委託先、委託先に出入りする人材、スパイウエアの存在、全てがOKでもリスクを極大化したことに違いない。
はっきり言って大馬鹿野郎。
馬鹿に付ける薬なし?
二次遭難サイトと命名したいくらい。
このサイトが馬鹿なのは自部の使っているパスワードを100個打ち込んだらそれで済むとは限らないこと。散々パスワードを平打ちさせておいて結果の補償はない。下手すると其の100個が流出するリスクも残っている。ハッカーの手口が見極められているのでない限りこんな馬鹿サイトは作らない。
>
普通なら新しいパスワードを発行する。勿論、入念に本人確認のプロセスを入れてからの話。普通でも、パスワードを失念したら、再発行の手順を踏ませて実施している。
パスワードを再発行したうえで、旧パスワードを確認できるメニューを用意すれば済むことだ。パスワードを途中で変更していたら複数表示も必要になるかも知れない。
>
積水ハウスの情報事故の多さに呆れるが、それ以上にセキュリティ担当役員の不在。結局、トップが無責任なのだ。
何回事故を起こしても何も学ばない企業。
呆れるしかない。
本当に、「馬鹿に付ける薬なし」なのだ。
>
