ZAPAnet総合情報局 > ZAPAブログ2.0 > アメブロお年玉パスワード事件で、元ホリプロ社員が逮捕!

アメブロお年玉パスワード事件で、元ホリプロ社員が逮捕!

2010年03月17日 ブログ全般
1月1日に配布された流出してしまったアメブロ芸能人のパスワード。

3月13日、ついに逮捕者が出ました。
記事によると、こういう流れのようです。
1. サイバーエージェントの社員が、誤ってホリプロの元契約社員に芸能人パスワード記載のファイルを添付してメールを送ってしまった。
2. そのパスワード入りのファイルを元ホリプロ社員が悪用。
3. 元ホリプロ社員がミキティのブログに不正アクセスし、個人情報リストを張り付けた。
4. 誰でも芸能人ブログのパスワードをダウンロードできる「アメブロお年玉パスワード事件」へ。
5. 流出による被害はなし。
ホリプロの元契約社員は、逮捕されてから解雇されたのか、逮捕される直前に解雇されたのか、たまたま契約期間が切れたのかは記載されていません。“元”契約社員と書いてあると、ホリプロに非はないように感じてしまいます。

それはさておき、このアメブロお年玉パスワード事件のポイントはどこでしょうか?

ミキティのブログに不正アクセスし、個人情報リストを張り付けた元ホリプロ社員は当然の悪です。
しかし、通常はこんなことをされないように、いくつものセキュリティをかけておくはずです。
IT企業なら当然、パスワードが漏れないように対策をしておきます。

アメブロお年玉パスワード事件についての時に書いた、サイバーエージェントのアメブロ芸能人パスワードの管理方法を再確認してみましょう。
1. エクセルファイルのシートに芸能人の名前と暗号化されていないパスワードの記載
2. パスワードは数字4桁や事務所名の後に数字連番など、強度の低いパスワード
3. エクセルファイル自体のパスワードロックは無し

芸能人のパスワードが暗号化もされずに平文で記載され、それをエクセルファイルで何百人分も管理していたら、いつパスワードが外部に漏れてもおかしくありません。
エクセルファイルを流出させてしまった瞬間に、記載されていた芸能人全員のパスワードが漏れます。

このエクセルファイルを管理していた人をNとした場合の、ファイルが漏れた経緯の予測を前回していました。
1. Nが自ら流出させた
2. Nがどこかで流出させてしまった
3. Nから盗んだ
4. そもそもサイバーエージェント内では誰でも触れることができた。そしてどこかから流出してしまった。
今回の報道によると、1と2の複合パターンでした。自ら外部企業の人間にパスワード入りファイルをメールで送りつけ、流出させてしまったようです。
もしこのとき誤メールしたことに気づいていたのであれば、アメブロ芸能人のパスワードを全員分変更しないといけないくらいの出来事です。

元々のパスワード管理方法がずさん、誤メールしても対策を取らない(あるいは誤メールに気づかなかったか)、誤メールを受け取った元ホリプロ社員が非常識、といろいろ原因が重なって今回の事件になったようです。

渋谷ではたらく社長の告白読みましたのときに書きましたが、藤田社長は「全ては、21世紀を代表する会社をつくるため」働いています。
違う意味で代表してしまわないように、もう少しセキュリティにも意識を持ってください。応援しています。



追記:「不正アクセス容疑:芸能人445人分のID“公開” 逮捕」の記事が公開されていました。ホリプロ元契約社員の岡田邦彦容疑者のコメントが載っています。
重要なデータの流出を誰かに伝えたかった。大みそかでみんなが休んでいる時に働き、疲れてむしゃくしゃしていた



関連リンク