KADOKAWA が受けている攻撃の内容を公開した NewsPicks の論争

@KADOKAWA

NewsPicks が KADOKAWA に届いたハッカーからの脅迫メールの内容を公開したという記事が話題になってますね。

私は記事は読んでおらず、下記のツイートにあるスクショを読んだだけの感想になってしまうのですが、

https://x.com/us_stock_invest/status/1804441605186945119

KADOKAWA 側は「NewsPicks の記事の公開によって犯人側を有利にする」と主張していますが、これは「データの身代金を要求されていることを公開されると、個人情報を公開されたくないユーザーから KADOKAWA に圧がかかり、身代金を払うよう多方面から要求されるから」ということでしょうか？（想像）

一方で NewsPicks 側は「身代金を払ってしまうと味をしめたハッカーがまた別の企業に攻撃を仕掛ける際の原資にもなってしまうので、交渉に一切応じないべき」と言っています。超好意的に解釈すると「身代金を払うなよ？俺らや社会が監視してるぞ？」という圧力ともとれますが、果たして、、。

「NewsPicks が犯人側から得た情報を鵜呑みにしてそのまま公開しており、NewsPicks が犯人側の主張の代弁者・広告塔となってしまっている」という批判もありますが、スクショの内容を信じるなら犯人側からの情報ではなく KADOKAWA 関係者からの取材だということみたいですね。

他にも「他社の不幸を有料記事にして金儲けに使うなんて許せん」という向きもありますね。

Twitter を見ていると NewsPicks への非難轟々といった印象ですが、皆さんはどう思いますか？

(編集済み)

コメント一覧

外資コンサルティング0863ed2ヶ月前

Uzabase側が同じ様にランサムウェア等で攻撃を受けた時に、金を払わずに一切交渉に応じないって判断が出来るか否かですよね⋯。

テック企業セキュリティエンジニアAJbm2q2ヶ月前

端的にいうと、荒らしは無視に限ると弁えたインターネット老人会と、転載したらインプレ稼げるもんね、というまとめサイト管理者、という構図です

身代金を要求されていると報道されたり、身代金は払わない、と宣言するとどうなるか、まずその時点で身代金を要求されていることが明確になり、攻撃者やそれを騙るものから反論されたり、便乗者からの追加の脅迫もあり得ますよね

しかしどのみち水掛け論で真偽不明、世間の関心を集める燃料にしかなりません

そして燃え上がれば燃え上がるほど、本来目にする機会もなかったはずの人にまで漏洩した内容が知れ渡り、二次被害が拡大することになります

企業側は当然それを避けたいですよね

攻撃者もターゲットが避けたいと思っているのを承知しているからこそ、証拠と称して燃料を小出しにしたり、炎上を狙うわけです

炎上して被害が大きくなれば、さらに拡大する見込みであれば、身代金を払った方がマシかもしれないというインセンティブが働くからです

炎上に成功したらもっと要求額を上げることも継続的に要求することもできるかもしれませんね、だって放置したら燃え続けてもっともっと被害がでかくなるかもしれないんですから

今回は異なると思いますが相手がビジネス目的ではなくハクティビストや売名目的の場合であっても燃え上がれば燃え上がるほど、成功体験により再発するでしょうね

だからどうであれ攻撃者の主張は無言、無視を貫き、事実のみ報告、が理想なのです

影響力があるメディアが報道して煽るなど後ろから刺されたようなものですよ

それを見て多くの攻撃者グループは、ああ、この国ではこういう情報が報道されれば、メディアが煽って国民感情を扇動し、結果的にたくさんの金を払うのだな、と理解するわけです

手っ取り早いので次から協力者としてnewspicksにプレスリリース出すかもしれませんね

本件は普段からインシデントレスポンスを専門としている身からするとよくあることではあるのですが、それでも残念でなりません

会計外資企業ソフトウェアエンジニアPhNavv2ヶ月前

身代金を払ったということが公開されてしまっているのよくないですよね。

やろうと思えば内部の人間を買収すれば攻撃し放題なわけで、数億円払うことが分かっているなら数千万かけて工作活動をする組織がどんどん現れそう

教育企業Iw7VHa2ヶ月前

NPが報道した事実は攻撃者側では既に知られている、もしくは成功すれば必ず行き渡る情報なのでは？

そう考えると「情報を得たけれど一般には公開しない」ことが今後の被害拡大の抑止に繋がることはない気がし…

報道は遍く注意喚起を促すための判断かもと思いました。

コメントはユーザーに削除されました。

テック企業セキュリティエンジニアlOwkis2ヶ月前

Twitter見てる限りじゃ

「個人情報流失させないために身代金払え」って声よりも「身代金払うなんてバカだろ」って声のほうが圧倒的に強いと思うので…

角川を害する形ではあれど、脅迫者に利する形にはなっていないと思う

SaaS 外資企業eSAQDP2ヶ月前

有料記事を読んでいないので検討違いだったら申し訳ないですが、サイバー攻撃に対する他社を含めた情報共有の時期や内容のあり方についての指針は検討されており、具体的な情報の一部は各社のセキュリティ担当者が把握し役立てることができるはずです。

それを踏まえた報道であれば良いと思いますが、タイミング的にも早く、評判を見ると、一般向けにしては内容が不適当に細かいものを含むようなので、社会のためになる報道ではなく興味本位の報道なのではないかと想像しています。

テック外資企業58WSdc2ヶ月前

セキュリティに関わっていたため少しコメントします。

ランサムウェアの解読にお金を払うなんて、と思うかもしれませんが、主犯格はお金をもらえればちゃんと復旧させてくれることも多いです。

というのも払っても復旧させてもらえない場合誰も払わなくなるからです。経営者視点では復旧コストと身代金とのバランスを見てしまいます。巧みに、今払えば50%オフの〇〇円だけど、明日になったら2倍になるよ！とか、一般のマーケティングのような活動もしてきます。そのやりとりのためのチャットサポートなんかもついてたりして本当に悪どい。。

このような中で外の人たちが「犯罪者の資金源になるから払うのは悪」というのは酷だとも思いますね。

セキュリティが甘いから感染するんでしょ？という意見もあるかもしれませんが、確かにその通りの部分もありつつ、1人突破できれば段々と別システムの権限を取得して行くようにしているため、狙われたあとに完全ブロックできる体制を持つ企業がどこまであるのか

は、専門家ほどその難しさを知ってます。

クラウド外資企業c8bgtw2ヶ月前

人質がデータだからいいだろうという気持ちで特ダネを営利目的で公開したのでしょう。

しかしこれが小さな子供が攫われたような人質事件だった場合どのような報道意義あるのか、そしてどのような結果になり得るのかという観点で見てはいかがでしょうか。

NewsPicksは相当下劣なことをしていると私は思います。

DX 企業ソフトウェアエンジニアxxCY7V2ヶ月前

この論争自体が(犯人の犯行とは別の点で)裁判になるのだろうなとは思っています

投稿者

テック企業ソフトウェアエンジニア9CtQ7q2ヶ月前

攻撃者の脅迫内容が「個人情報を抜かれたことをユーザーに知られたくなかったら身代金を払え」ってことだったとしたら、抜かれたことを NewsPicks が広めてしまったので KADOKAWA は身代金を払う必要がなくなってしまった（攻撃者が「これが嫌だったら払え〜」と言う嫌なことを起こしてしまったので）ということですかね？

KADOKAWA が恐れていた損害を実際に発生させることによって攻撃者に身代金が渡らないようにしたという荒療治とも取れるし、損害を与えたんだからその分の賠償金などを請求されても仕方ない気がしますが、少なくとも「犯罪を助長する行為」ではないのでは？という印象になってきました。賠償金を払うためにお金も稼がなきゃいけないでしょうし、有料記事にしたところで利益はあんまりなさそうですね。