ネットセキュリティで有名なF-Secure社員の情報漏えい事件。
前回の時点では、当時F-Secure社員K氏の単独または社内の仲間によるもので会社は無関係なのだろうと予想したけれど、どうやらF-Secureという企業丸ごとおかしいようなのでまとめ。
タイトルはF-Secureのプレスリリースを一部パクった。
最終的なご報告らしいので、これで終わりにしたつもりなのでしょう。エフセキュア公式のニュースリリース一覧ページより。
source:ニュースと特集
何を言っているのか3行にすると、
- 11/04・・・社員がSNSで不適切な事をしたらしい、続報を待て
- 11/06・・・当該社員は退職、会社関係無いし情報漏れていない
- 11/13・・・やはり会社は関係無い、不満が有るなら警察に言え
だいたいこのような感じ。突っ込みは当記事ラストのまとめにて。
なお、前回はネトウヨ寄りで書いたけれど、今回は可能な限り中立な立場、BTOパソコン.jpのヒツジ先輩として、エフセキュアという会社とセキュリティソフトについて書くつもり。無意識に右へ寄ったなら失礼。
また、私が匿名という事も有り、当記事内での個人名は全て頭文字や ぱよちん のようなニックネームでお送りしております。本人と判る写真もモザイク入りで。
自爆や内ゲバで裏付けられた社員Kの素性
前回までの流れ。一部省略。
- FB内「はすみとしこの世界」で左派を挑発する風刺画を多数公開
- あざらし隊が1をイイネした人の個人情報を集めリスト化し晒す
- 左派時代K氏と親しかったチバレイがあざらし隊をK氏と言う
- K氏が自分で晒した学歴などからF-Secure社員と特定
- あざらし隊のTwitterアカウントが丸ごと削除される
続き。
- K氏は退職したとF-Secureがプレスリリースで告知
- あざらし隊Twitterアカウントが非公開設定で復活
- 大手サイトのF-Secure、K氏掲載ページが削除
- F-Secureが会社は関係無いとして逃げた
この間も2chやネトウヨ系のブログで大炎上しまくり、ぱよぱよちーん祭りが続いていたけれど、今回はF-Secureが軸なのでそれも省略。「ぱよちん」で検索すると、いくらでも出て来るので暇ならどうぞ。
エフセキュアは社員K氏がぱよちん(左翼、個人情報ばらまき犯)とは特定出来なかったという妙な言い訳で終わらせているけれど、こちらのリンク先にはK氏がぱよちんで有るという証拠はてんこ盛り。
#はすみしばき の中心人物、MetalGodTokyo 氏、実名、職業、Facebookアカウントが特定される? - Togetterまとめ
http://togetter.com/li/894699
実名フルネーム、顔写真、発言にセキュリティ会社に勤務しているで有ろう証拠が載っており、ぱよちんが社員Kという確認は無関係な私らにも判り過ぎるほど。
どこだったか忘れたけれど、F-Secureのマーケティング担当としてインタビューされていたK氏の名前と顔がぱよちんと全く同じなのだから、同姓同名とか似ている別人という言い訳は無理過ぎる。
その割に会社は関係無いと言い訳しつつ、K氏を逃がすかのように解雇では無く退職させ、常識的に考えると企業として本人へ問いただすことさえせず、エフセキュア関係無い終わりでは無茶過ぎましょう。
好意的に解釈しても、K氏への温情として逃がしてやったという見方は出来るとしても、何も調べず「情報漏れていない」「バックドアとか無い」と言われても困る。ここも常識的な企業ならば、第三者による調査で潔白を証明すべきところ。
エフセキュアも疑うには充分と思う不自然さ
本当にエフセキュア無関係なのか?そうとは思えなくなって来た理由を以下7項目にて。
明らかにK氏本人にも関わらず無関係を主張
なぜエフセキュア社は隠そうとするのか。上はF-SecureのK氏として写っている写真、下は左翼時代のチバレイとくぼっちゃん。チバレイは名や顔を売る仕事と思うので好意として修正せず。
これ以外にも上で貼ったTogetter内のように証拠は多数。
そして問題はここ。
セキュリティ業界の総力をあげる、プロキシ経由でも特定出来る、こんな事は普通の環境では出来るわけが無く、嘘だろうとしても嘘だと証明しなければ、F-Secureという会社の性質上、K氏がぱよちんとして社内でハッキング行為をしていなかったとは言い切れない。
F-Secure社内に仲間が存在している可能性
ソースはこちら。既に削除されております。
モザイク内はK氏の本名。
エフセキュア社内には、ぱよちんの仲間が残っており、ほとぼりが覚めたなら個人情報漏洩や攻撃を再開するそうな。
これ以外にも仲間がエフセキュア内に居る事を示唆する発言。
下、ぱよちん本アカ。
「昼休みに職場の後輩達にターゲットのFacebook見せたらドン引きだった。」、この職場とはエフセキュアを指しているわけで、後輩とはエフセキュア社員を指しているわけで、同じような事件を起こす可能性が有ると言えましょう。
日本法人は独自開発、韓国企業とも関わり
エフセキュアはヘルシンキ発、日本法人は国内で販売する支店のような支社なので、マイクロソフトのように日本法人はソフトウェアの仕様や開発には関わっていないと考えるが普通。
しかし、日本はオリジナル。
日本の技術者に、エンジン以外のプログラム部分を開発させたそうです。だから、F-Secureはエンジンはフィンランド製だけれど、それ以外の部分は国産のソフトウエア
source:エフセキュア株式会社 - 導入事例
しかも反日国、韓国の企業の人間がエフセキュアの代表取締役をやっていた時期も有るとの情報。
日本支社の代表取締役は桜田仁隆という人物らしい
→http://www2.f-secure.co.jp/corporation/そして彼はペンタセキュリティシステムズという韓国企業の日本支店代表取締役も兼任してるっぽい
→http://www.pentasecurity.co.jp/wp/?page_id=3902&pn=5source:http://yomogi.2ch.net/test/read.cgi/news4plus/1446817846/665
2009年以前の話なので現在は違うかも知れない。
独自のプログラムだから改変されている、韓国企業と関連が有るからまずい、とは言わないけれど、疑惑の底上げとしては充分。
日本スマートフォンセキュリティ協会は通報
エフセキュアとは違い、こちらは真剣に対応。
2015年11月6日 21時10分 追記
2015年11月6日 16時00分に管轄の警視庁麹町署に本件について当協会より相談を行いました。今後、捜査当局の判断や指示に従い、本件の実態解明に当協会としてできる限りのことを真摯に協力してまいります。
なぜ日本スマートフォンセキュリティ協会が関係するかは、K氏はこの協会でリーダーとして名を連ねていた為。
そりゃそうなるだろう的な画像をもう一度。
例として、キャリア単体の社員が左翼でぱよちんと通じているというレベルでは無く、この表現では、あらゆる携帯電話からの特定に対応しておりますと言っているようなもの。
スマホセキュリティ協会が警察へ相談するのは当たり前かと。エフセキュアは何故しない?
逆ギレ社員エフセキュアの電話対応がひどい
F-Secureへ電凸したらしい、探偵Watchの記事より小ネタ。
そこで、当該アカウントの利用者の特定を同社が本気で行いたいのであれば、関連情報を提供すると伝えた。だが、「情報商材の売り込みですか」などと社員は話をはぐらかし続けた。
凄い社員が在籍されているようで、この会社どうなっているのか。
元代表取締役O氏辞任のタイミングが早過ぎ
上のはぐらかし社員、K氏、居るかも知れない仲間以外に、代表取締役の動きも怪しい。同社の登記簿を取り寄せた結果がこちら。
モザイクは要らないと思うけれど、個人名や住所も載っているので一応。2015年11月17日時点での株式会社エフセキュアの全部事項証明書より、役員の異動部分。
F氏はフィンランド(?)かは分からないけれど、欧州と思われる外国人名で、O氏は女性と思われる日本人名。
流れを書きましょう。上2行は重要では無いけれど一応。
- 26年3月・・・第三者が代取を辞任し、4月にF氏が就任
- 27年3月・・・F氏が代取を辞任し、4月にO氏が就任
- 27年10月31日・・・O氏が7ヶ月で辞任し、再びF氏が代取 ※11/4登記
この会社の過去を見ると、3月末で社長が変わるのはあるある。しかし、今回のO氏辞任は10月末という不自然さが有り、決定的な点は11月4日(水)に登記し、さかのぼり10月31日で代取辞任という箇所。
- 11/2(月)・・・ぱよちんが祭りの片鱗を見せ始める
- 11/3(祝)・・・K氏とバレ、ぱよちんがTwitterアカウント削除
- 11/4(水)・・・F-SecureのO氏が代取辞任登記(役員からも消滅)
何がおかしいかは、法務局は2日でもやっているのだから月曜には行けたはず。しかし、役員の変更は2週間以内なのでそこまで急ぐ必要は無いのだけれども、なぜか急いだかのように4日の処理。
元からその予定だったと言われるとそれまで。しかし、3日から本格的に炎上し始め、4日にエフセキュアがプレスリリースを発表するほどの多忙な時期になぜO氏は辞める必要が有ったのか。
O氏代表の時期がこの事件に大きく関わっているのだから、O氏が釈明するが最善、これでは責任逃れと言われても言い返せないかと。
仮に逃亡説が正しいとするなら、3日に炎上、4日に登記、法務局は基本的に17時15分まで。社員の不祥事のプレスリリースを公開しつつ、当日に辞任の登記を行った理由は何なのか。
本当に10月末で辞任し、11月からはF-Secureとは関わっていないとしても、元で有れ日本法人の最高責任者だったのだから出てくるべきでしょう。
テレビなどで一切報道されない点が逆に怪しい
私は昼休みや夕食時の飲食店でしかテレビを見ないので疎いのだけれども、テレビや新聞などでは一切報道されておらず、ネットも大手はYahooニュースに載った程度とか、テレビも関東のローカルで少しやったくらいと聞いております。
これ、逆に怪しいでしょう。
なぜエフセキュアという一企業ごときにここまでの規制が出来るのか。K氏が関わったから報道出来ないのか。彼らに報道を制限するほどの権限が有るとは思えず、裏でデカい組織が動いているとするなら、エフセキュアもその組織と関連が有るとも思えてしまう。
別の見方をすると、エフセキュアは防衛省などのシステムを導入していたり、今後マイナンバーのシステムも任される可能性が有るらしいので、その点で飛び火しないよう報道するなと言っているのかも知れない。
F-Secureインターネットセキュリティは避けよう(まとめ)
購入しようにも、事件から数日でヨドバシやビックなどの家電量販店からF-Secure~は削除され、Amazonでは売っているものの、この状態で買う人が居るとは思えないけれど。
source:Amazon.co.jp: F-Secure インターネット セキュリティ 2014
大手とは言え、日本国内の個人向けはマイナーな方。他に炎上していない企業が普通のセキュリティソフトを出しているのだから、これを選ぶ理由は無いでしょう。
そして、当サイト名義で公開状(公開質問状)をメールで送れども返信無し。公開状は無返信の場合も公開するもの。全文は無駄に長いので一部を原文ママ垂れ流しにて。※全文はこちら>openmail-2015-11-f-secure.txt
- Q1.件の首謀者K氏の自主退職にて貴社としての対応は終了されたのでしょうか?
- Q2.Facebookの第三者の非公開情報をK氏が公開出来た原因に貴社は一切無関係と断言できますか?
- Q3.SNSにてK氏が同じ職場と申されていました「後輩」も極左思想があるとうかがえますが、貴社内で調査はされないのでしょうか?
- Q4.貴社側からK氏へ賠償等を求める可能性はありますか?
- Q5.貴社の権限を利用した他社サイトのバックドア等をK氏が悪用する可能性が考えられますが、その点をどう解釈され対策されるのでしょうか?
- Q6.K氏が貴社の社員の採用担当であった事は事実でしょうか?また、その事実が有った場合にK氏の判断を取り入れ採用された社員の調査はされますか?
- Q7.貴社は全体(もしくは日本法人すべて)において、日本国内の左派を支持する組織なのでしょうか?
※Q2「Facebookの第三者の非公開情報をK氏が公開出来た」に関しては、後で確証が無いと知り、私の勘違いかも知れない。
F-Secureの11/13リリースによると上記の一部へ返答しているように見える箇所も有るけれど勘違いが多い。私の聞き方がまずかったのか。
例としてQ5の回答のつもりかも知れないプレスリリースの作文。
・弊社製品には、いわゆるバックドアは一切組み込まれていません。弊社製品、サービス、システムを利用して意見の異なる立場の人々に圧力をかけることができるかのような書き込みが存在したようですが、当然のことながら、弊社、あるいはいずれの第三者も含め、何人においても弊社ソフトウェアのバックドアを介したアクセスを行うことはできません。
source:ニュースと特集
この「弊社製品」が何を指すのかが不明。まさかF-Secureインターネットセキュリティにバックドアが有り、それを利用するという答えならば意味が解らない。
ネット上で多くの人が不安に思われている点は、Facebookなどエフセキュアのセキュリティを導入しているサイトのシステムへ侵入したり、導入時に作っておいたバックドアから情報を抜き取られたりしないのか?という事かと。
もしこれが解っていないのなら、エフセキュアは何故ここまで大炎上し、自社への批判が高まっているのか理解出来ておらず、
徹底調査したところ、
とか言われても全然信用出来ない。
セキュリティを扱う企業の社員が遊び半分で個人情報をばら撒き、自らの業務権限で携帯電話やパソコンの情報を知る事が出来ると脅し、そしてエフセキュアという会社の現役社員がマジキチ対応。
もはやエフセキュアという選択肢は個人利用としては無し。マイナンバーのシステムなどもエフセキュアだけは導入して欲しく無いと訴える日本人が多いでしょう。
この流れは自然。
何年か経過し、当時の市長が共産党=エフセキュア採用率高い、のような結果が出たなら、それはそれでエフセキュア的にはブーメランですな。
まともな人間なら、信頼性以前に潰れる(日本から撤退する)かも知れない会社のシステムとか導入しないと思う。現在している企業は、他社への乗り換えをおすすめ。
今のところ結果は残念な状況。ぱよちんがどうなろうと知ったこっちゃないが、地下に潜られて手のものである残党に指示を出すとか怖い。↓とかはどうしてもぱよ等の関与を想像してしまう。
https://www.youtube.com/watch?v=41aSMIS9flE
一般のメディアが報道しない最大の理由は、F-Secureの一般知名度が低すぎるから、では無かろうかと。特に日本では。ニュースで報じても「えふせきゅあ?なにそれ?」な展開が濃厚。
2015年において、AV-TESTでは100%、AV-Comparativesでは98~99%くらいと高い成績を収めていますから、ソフトの性能は高いのですがね。価格も安いですし。
Antivirus Market Share Report January 2015 | OPSWAT
https://www.opswat.com/resources/reports/antivirus-and-compromised-device-january-2015
F-Secureはランク外。
アンケートコミュニティーのinfoQ|現在ご利用中のセキュリティソフトランキング
https://infoq.jp/forestown/2014/10/post_88.html
F-Secureは12位の「0.3%」
価格.com - セキュリティソフト 人気売れ筋ランキング
http://kakaku.com/pc/antivirus-soft/ranking_0350/
F-Secureは20位以内に12位が1製品のみ(2015年11月20日現在)。
個人的にF-Secureで好きなのはブログ。セキュリティやらプライバシーやらへの言及が面白いです。今だと「お前が言うな」で一蹴されそうですが、書いてある内容はまっとうですから。
エフセキュアブログ
http://blog.f-secure.jp/
>あざらし隊が1をイイネした人の個人情報を集めリスト化し晒す
この行為自体はFacebookの規約違反ではあったかもしれませんが、別に犯罪でも何でも無かったのですがね。何しろFacebook上で個人が公開している個人情報をまとめただけ、でしたから。どこかで「やり過ぎだった。頭に血が上っていた。申し訳ない」とでも言って引いておけば、会社を辞める必要も無かったでしょうに。それが出来ないから騒ぎを起こし職を失う訳ですが。
しかし400人近くの情報をチマチマと集めるとは凄まじい気合。
>セキュリティ業界の総力をあげる、プロキシ経由でも特定出来る
どの様な会話のやり取りで出てきたセリフなのか不明ですが、仮に「IPアドレスから個人が特定できる」レベルなら、仮にセキュリティ会社の社員でも不可能な気がするのですけれど。セキュリティ会社勤務だと、どこのISPも発信者情報開示請求に応じてくれるとでも言うのでしょうか。
>F-Secure社内に仲間が存在している可能性
この手の方は、事あるごと自分にとって都合の良いような書き方をしがちですから、仲間とは言っても「逆らうと面倒くさいから適当に話を合わせているだけの同僚」かもしれませんがね。そうなら安心。仲間というより同志の方なら危険。仇討ちと銘打って妙な事を仕掛けるやも。また自爆して終わりかもしれませんが。
>職場の後輩達にターゲットのFacebook見せたらドン引きだった
私でもドン引きします。Facebookの内容ではなく、気に入らないからと見ず知らずの他人を晒し上げようとするねじ曲がった根性に。
>ペンタセキュリティシステムズ
ペンタってペンタゴンのペンタですよね。五角形。英語だと「Penta Security」ですけれど、何だか有名な「Panda Security」に似ていますね。わざと似せた訳ではあるまいな。
>Amazonでは売っている
日に日にレビューの星評価が落ちて行くところが見どころ。笑いどころは「この商品を見たあとに買っているのは?」と「この商品をチェックした人はこんな商品もチェックしています」に「そうだ難民しよう!はすみとしこの世界」が紹介されているところ。面白そうなため、つい「はすみとしこの世界」を予約注文してしまった次第(発売は12月17日だとか)。
>弊社製品には、いわゆるバックドアは一切組み込まれていません
F-Secure Internet Securityはファイアーウォール機能が付属ですから、例えば秘密裏に外部と通信していても気づきにくいですが、F-secure SAFEなんぞはファイアーウォールがOS標準機能を使用しているため、妙な通信をしていたら即座にバレそうですがね。
>弊社ソフトウェアのバックドアを介したアクセスを行うことはできません
>意味が解らない
少し日本語が変ですけれど、穿った見方はせず「弊社のソフトウェアにはバックドアが仕込まれていません。そのため、弊社ソフトウェアの機能を起因として、外部への不正なアクセス、また外部からの不正なアクセスが行われる事態は起こりません」と読めば良いだけでは。てにをはを変えると
「何人においても、弊社ソフトウェアを利用して、バックドアを介するアクセスを行うことはできません」
辺りが適当かと。「ウチのソフトを使っている限りバックドアの被害は起こらない」という趣旨だと、新型のバックドアに対応できなかった際は問題になるため、やや曖昧な表現に留まっているのかもしれません。
>F-Secureの一般知名度が低すぎる
私は最近のテレビ事情を知らないのだけれども、彼らのネタ切れさ加減はもはや当サイト(私ともいう)並に困窮を極めており、YouTubeを垂れ流す程なので「ネットで話題、国内騒然」レベルで煽っても良さそうと思う。
知名度に関わらず、特にTwitterが起源ともなればネタ切れテレビ屋は食いつくのが自然では無かろうかと。
私は14~16時辺りから1時間ほど昼休みを取る変な人なので時々ミヤネヤを見るけれど、思い起こせば確かに報道していないと今更ながら気付いた。
>どこのISPも発信者情報開示請求に応じてくれるとでも言うのでしょうか
ここも深読みすると、「K氏はISPにまでスパイを持っているのか何それこわい(棒読)」という煽りにて。多分全部嘘でしょう。しかしマジだと仮定した方が面白いので私はぱよちんを信じております。
>バックドア
庶民Aさんが理解されなかったという事は私の説明が悪いと思った。
インターネットセキュリティソフトにバックドアが有り攻撃出来る<意味不明、という事では無く、F-Secureの主力製品はDELL並に法人メインなのだろうから、「弊社製品」は法人向け、具体的にはFacebookへ導入したオーダーかカスタムメイドなシステムが「エフセキュアの製品」であろうとして、F-Secure関係者がFacebookなどのシステムへ管理者権限でログインしたり、管理アカウントでは無くバックドアを利用した悪用が出来る≒K氏が退職しようとバックドアを知っているなら恒久的に侵入出来るのでは?を危惧しております。
いずれにせよ、F-Secureの対応は日本国内では通用支那いレベルだと思う。誤字失礼。これで最終報告は無いだろうと。
>「ネットで話題、国内騒然」レベルで煽っても良さそう
その「ネットで話題」だったとしても、F-Secure自体の知名度が低いと効果が非常に薄いと思われます。スポンサーが付いてくれるか微妙なところ。
「大手企業も導入している有名セキュリティソフト会社「F-Secure」の社員がFacebookで大暴れ!会社を首に!同志の心境はいかなるものか、K氏所属『あざらし隊』メンバー候補の現社員に独占インタビュー!」
とかやれば視聴率がうなぎのぼりやも。
また左翼とか右翼とかは思想・良心の自由に関する話題ですし、面白おかしく放送するにしても、真面目に調査して報道番組っぽくするにしても、左派右派どちらにも傾くこと無く中立姿勢のまま放送するのは難しそう。K氏の言動が良心に基づくものか、厳密には不明なところもありますけれど。
>F-Secure関係者がFacebookなどのシステムへ管理者権限でログイン
>K氏が退職しようとバックドアを知っているなら恒久的に侵入出来るのでは?
社内に馬鹿しか居ないならその可能性は無きにしも非ずですが、そんなモノを仕込んでいたら、さすがに社内SEが気付かない訳ないでしょう。Facebookなんぞ大きな企業なら尚更。
というかそれも含めて「何人においても弊社ソフトウェアのバックドアを介したアクセスを行うことはできません」なのでは。
どちらかと言うと、バックドアを利用した遠隔アクセスではなく、メール監視システムを悪用して、中身を盗み見るような行為の方を警戒したいかも。
>マイクロソフトのように日本法人はソフトウェアの仕様や開発には関わっていない
マイクロソフトも日本にも開発拠点があるようですよw
「ごちうさ」も一発変換! アップデートで進化したWindows 10の日本語入力とフォント - PC Watch
http://pc.watch.impress.co.jp/docs/news/20151118_731248.html
>日本にはマイクロソフトディベロップメント株式会社という開発拠点がある。ここでは、マイクロソフト製品の日本語化ではなく、日本固有の機能/製品開発を行なっている。Office Lensなどがその一例だ。また、Windows 10のアップデートにおいては、日本語IMEやフォントなど日本に特化した開発を行なった。
エフセキュア、高市早苗総務大臣、今後も監視していく。 | 小坪しんやのHP~行橋市議会議員
https://samurai20.jp/2015/11/f-secure6/
総務省の監視対象にされたみたいですよw