Uzabase側が同じ様にランサムウェア等で攻撃を受けた時に、金を払わずに一切交渉に応じないって判断が出来るか否かですよね⋯。

端的にいうと、荒らしは無視に限ると弁えたインターネット老人会と、転載したらインプレ稼げるもんね、というまとめサイト管理者、という構図です

身代金を要求されていると報道されたり、身代金は払わない、と宣言するとどうなるか、まずその時点で身代金を要求されていることが明確になり、攻撃者やそれを騙るものから反論されたり、便乗者からの追加の脅迫もあり得ますよね

しかしどのみち水掛け論で真偽不明、世間の関心を集める燃料にしかなりません

そして燃え上がれば燃え上がるほど、本来目にする機会もなかったはずの人にまで漏洩した内容が知れ渡り、二次被害が拡大することになります

企業側は当然それを避けたいですよね

攻撃者もターゲットが避けたいと思っているのを承知しているからこそ、証拠と称して燃料を小出しにしたり、炎上を狙うわけです

炎上して被害が大きくなれば、さらに拡大する見込みであれば、身代金を払った方がマシかもしれないというインセンティブが働くからです

炎上に成功したらもっと要求額を上げることも継続的に要求することもできるかもしれませんね、だって放置したら燃え続けてもっともっと被害がでかくなるかもしれないんですから

今回は異なると思いますが相手がビジネス目的ではなくハクティビストや売名目的の場合であっても燃え上がれば燃え上がるほど、成功体験により再発するでしょうね

だからどうであれ攻撃者の主張は無言、無視を貫き、事実のみ報告、が理想なのです

影響力があるメディアが報道して煽るなど後ろから刺されたようなものですよ

それを見て多くの攻撃者グループは、ああ、この国ではこういう情報が報道されれば、メディアが煽って国民感情を扇動し、結果的にたくさんの金を払うのだな、と理解するわけです

手っ取り早いので次から協力者としてnewspicksにプレスリリース出すかもしれませんね

本件は普段からインシデントレスポンスを専門としている身からするとよくあることではあるのですが、それでも残念でなりません

身代金を払ったということが公開されてしまっているのよくないですよね。

やろうと思えば内部の人間を買収すれば攻撃し放題なわけで、数億円払うことが分かっているなら数千万かけて工作活動をする組織がどんどん現れそう

NPが報道した事実は攻撃者側では既に知られている、もしくは成功すれば必ず行き渡る情報なのでは？

そう考えると「情報を得たけれど一般には公開しない」ことが今後の被害拡大の抑止に繋がることはない気がし…

報道は遍く注意喚起を促すための判断かもと思いました。

Twitter見てる限りじゃ

「個人情報流失させないために身代金払え」って声よりも「身代金払うなんてバカだろ」って声のほうが圧倒的に強いと思うので…

角川を害する形ではあれど、脅迫者に利する形にはなっていないと思う

有料記事を読んでいないので検討違いだったら申し訳ないですが、サイバー攻撃に対する他社を含めた情報共有の時期や内容のあり方についての指針は検討されており、具体的な情報の一部は各社のセキュリティ担当者が把握し役立てることができるはずです。

それを踏まえた報道であれば良いと思いますが、タイミング的にも早く、評判を見ると、一般向けにしては内容が不適当に細かいものを含むようなので、社会のためになる報道ではなく興味本位の報道なのではないかと想像しています。

セキュリティに関わっていたため少しコメントします。

ランサムウェアの解読にお金を払うなんて、と思うかもしれませんが、主犯格はお金をもらえればちゃんと復旧させてくれることも多いです。

というのも払っても復旧させてもらえない場合誰も払わなくなるからです。経営者視点では復旧コストと身代金とのバランスを見てしまいます。巧みに、今払えば50%オフの〇〇円だけど、明日になったら2倍になるよ！とか、一般のマーケティングのような活動もしてきます。そのやりとりのためのチャットサポートなんかもついてたりして本当に悪どい。。

このような中で外の人たちが「犯罪者の資金源になるから払うのは悪」というのは酷だとも思いますね。

セキュリティが甘いから感染するんでしょ？という意見もあるかもしれませんが、確かにその通りの部分もありつつ、1人突破できれば段々と別システムの権限を取得して行くようにしているため、狙われたあとに完全ブロックできる体制を持つ企業がどこまであるのか

は、専門家ほどその難しさを知ってます。

人質がデータだからいいだろうという気持ちで特ダネを営利目的で公開したのでしょう。

しかしこれが小さな子供が攫われたような人質事件だった場合どのような報道意義あるのか、そしてどのような結果になり得るのかという観点で見てはいかがでしょうか。

NewsPicksは相当下劣なことをしていると私は思います。

この論争自体が(犯人の犯行とは別の点で)裁判になるのだろうなとは思っています

攻撃者の脅迫内容が「個人情報を抜かれたことをユーザーに知られたくなかったら身代金を払え」ってことだったとしたら、抜かれたことを NewsPicks が広めてしまったので KADOKAWA は身代金を払う必要がなくなってしまった（攻撃者が「これが嫌だったら払え〜」と言う嫌なことを起こしてしまったので）ということですかね？

KADOKAWA が恐れていた損害を実際に発生させることによって攻撃者に身代金が渡らないようにしたという荒療治とも取れるし、損害を与えたんだからその分の賠償金などを請求されても仕方ない気がしますが、少なくとも「犯罪を助長する行為」ではないのでは？という印象になってきました。賠償金を払うためにお金も稼がなきゃいけないでしょうし、有料記事にしたところで利益はあんまりなさそうですね。

とても残念な方向へ向かっているようです。

今回の報道は密室の交渉テーブルへ外から物を投げ入れるようなもので、アンコントローラブルになりつつあるのではという印象です。

https://x.com/gweoipfsd/status/1805098774639030695

FANZAで同様の被害が出て、ユーザー情報と閲覧履歴が公開される可能性があっても、決して身代金を払うべきでは無い！と言える人達だけが、今回も同じ様に訴えるべきだと思います、なんてねw