｢顧客1万人のデータが漏洩してますよ、うちのサービスを使えば解決できます｣

とセキュリティ会社から連絡がきたら、どうします？

米アトランタのがん検査機器の会社｢LabMD｣は、どうせセキュリティ会社｢Tiversa｣のセールストークだろうと思って使いませんでした。

そしたら脅しともとれるメールが何度もきて、しまいには米連邦取引委員会（FTC）に通報されてFTCから注意勧告が入り、その対応に追われてるうちにピーク時40人いた会社は営業停止になってしまったのです。

米国は州によっては情報漏洩対策法というのがあって、個人情報がデータ保護法違反のリスクにさらされた場合、顧客に通知を義務付けています。リークが表沙汰になるだけで中小企業は命取りなんですね。

まーそれだけなら｢医療関連会社なのに社員のP2Pソフトから外にデータが漏れるなんて、セキュリティの脇が甘い会社だったんだなあ｣（これは事実）で終わりなんですが、問題はそのデータを不正入手したのがほかならぬTiversaだということです。穴の存在証明には必要な手法かもだけど、それにしたって…なんかその辺の線引きって紙一重ですよね。

しかも今月この件でFTCで証言台に立った元Tiversa社員のRichard Wallaceさんが、｢穴がもう塞がってるところまで漏洩先としてFTCに報告して、被害を大きく見せていました｣と爆弾発言したもんだから、さあ大変。セキュリティ会社って他人の会社のデータを不正入手して、漏れてないところまで漏れた漏れたと騒いで、サービス買わないとお上に言いつけて潰すの!? こえーー!!! という話になってますよ。

同様のスキームは今回に限ったことではなく、2008年秋、大統領専用ヘリのマリーン・ワンの設計案が海賊版楽曲に混じって漏洩したときTiversaが｢イランのIPアドレスにまでシェアされてる！｣と騒いだが、あれも嘘だったとWallaceさんは証言。｢警察がとっくの昔に対応して、問題のファイルはオフラインに取り下げた後だった。ところが後になって気づいたボラックCEOが、もっと騒ごうぜと言って報道機関に連絡して、いつの間にかイランのIPアドレスで見つかった話になっていたんですよ｣と語りました。いや～設計を請け負った会社にとってはいい迷惑ですよね。

当のTiversaのCEOは、｢商売なんて滅相もない｣、｢会社を首になった社員が腹いせに作り話をしているだけだ｣と言ってますが、さて？

ちなみにWallaceさんいわく、LabMDのデータ漏洩、漏洩といいますけど、データの在り処は正確に言うと2ヶ所しかなくて、ひとつはLabMDのコンピュータ、もうひとつはTiversaのコンピュータ。｢出元以外の場所では一切検出されていない｣とのことです。

調査に乗り出した上院監視委員会がFTCに提出した書簡によれば、TiversaがFTCに通報した会社は｢100社近く｣にのぼるそうです。うち何社がフェイクだったのか？ 真実はじき明らかになります。

source: The Verge, CNN

Kelsey Campbell-Dollaghan - Gizmodo US［原文］

（satomi）