メディアが注目しているにもかかわらず、ソニー・ピクチャーズ エンタテインメントのハッキング大きく関係しているのは流出した映画5本情報がオンラインに流出したとしても、より大きな問題は、この大規模なハッキングの一部である機密の内部データである可能性があります。
GOP(平和の守護者)と名乗るグループが先週、ソニー・ピクチャーズ エンタテインメントのウェブサイトをハッキングし、そのほぼすべてのコンテンツを破壊した。それを使用した社内システム。
関連項目:
それからほぼ1週間が経ち、襲撃の成果が世間に少しずつ広がり始めている。 Mashable は、データビーチからの文書を所有していると主張する共和党に関与していると主張する個人から連絡を受けました。
ソニー・ピクチャーズ エンタテインメント(SPE)の社内ファイルサーバーからのものと思われる文書がすでに27GB以上流出している。 Mashable はこれらのドキュメントの一部をレビューしましたが、情報のキャッシュは本当に驚くべきものでした。
一般ユーザーにとって、このデータはあまり興味深いものではありません。データの多くは 2002 年と 2003 年に遡るものもあり、内部手続きや販売報告書に関連しています。
それでも、マーケティング レポート、シンジケート契約、人事ポリシー、企業イベントの文書、プレゼンテーション資料、プレス リリースを含むこの情報が自由に公開されているという事実は、SPE で働く人を悩ませるはずです。
内部データの宝庫
主要な映画が劇場公開前にオンラインに流出すると、ほとんどの場合、映画の興行収入にマイナスの影響が生じます。そのため、当面の焦点の多くが『フューリー』、『アニー』、その他の映画の漏洩上映者に向けられているのは当然です。
それでも、ギガバイト規模の販売文書やマーケティング計画は、将来的には SPE にとってより大きな問題となる可能性があると考えずにはいられません。
クワベンジャネ・ウォリス、『アニー』の撮影セットに登場 クレジット:
これまでに漏洩した情報は氷山の一角に過ぎないことは明らかだ。 27GB のデータ ファイルには「spe01」というタイトルが付いていますが、これは、これがデータのさらに多くの部分である可能性があるものの一部にすぎないことを示しているようです。
そのデータ ファイルには、マーケティング (海外および国内)、人事、販売、イベントなど、さまざまな部門からの情報が含まれています。このデータの中には平凡で無害なものもありますが、他の情報はライバルのスタジオにとって役立つ可能性があります。
たとえば、ライバルスタジオが特定のネットワーク関連会社の特定の番組のシンジケート契約にアクセスできた場合、それが競争力のある時間枠の交渉に使用される可能性があります。さらに、アフィリエイター自身も、同じプログラムの料金を他の市場と比較して確認することができます。
さらに、データの広範さは、SPE の内部ファイル サーバー上のすべてのファイルが侵害されている可能性が非常に高いことを示唆しています。
セキュリティ、何のセキュリティ?
SPEがハッキングされるのはこれが初めてではない。 3年以上前ですが、37,000のユーザーアカウントがハッキングされたSPEのウェブサイトより。ハッカーグループ LulzSec に関係する人物は、懲役1年の判決を受けたその攻撃と連動して。
LulzSec は、2011 年にかなり基本的な方法を使用して SPE をハッキングすることができました。SQLインジェクション。これにより、攻撃者は SPE のサイトに登録されているユーザーのユーザー名とパスワードに比較的簡単にアクセスできるようになりました。
3 年半が経過した今でも、SPE の内部セキュリティ慣行は改善されていないように見えます。
サーバーに保存されている文書はいずれも暗号化されていないようです。さらに、文書自体にも、部門全体での不適切なデータ慣行の顕著な兆候が示されていました。
カリフォルニア州カルバーシティにあるソニー・ピクチャーズ・スタジオへの入り口。 クレジット: Danny Moloshok/Bloomberg
Mashable が調査した 1 つのフォルダには「Passwords」というタイトルが付けられており、内部電子メール システムのログイン パスワードと企業のクレジット カード番号が含まれていました。
私たちは次のことを考えなければなりません。どのような IT ポリシーがこの種の行為を許可しているのでしょうか?
明確にしておきますが、この攻撃はまさに刑事問題であり、SPE とその従業員は被害者です。それでも、これは大企業がいかに情報セキュリティへの取り組みが不十分かを示す一例にすぎません。
SPE の自社データに対する内部ポリシーが非常に弱いのであれば、顧客やクライアントのデータはどのように扱われるのでしょうか? という質問をする価値はあります。
不明瞭な動機
今のところ、この漏洩の背後にある動機は不明です。
データ侵害の範囲が広範であるため、疑問を抱く人もいるこれが内部の仕事だったのかどうか。内部情報源が攻撃者による内部 Web サーバーの一部へのアクセスを支援した可能性は非常に高いですが、情報が漏洩した方法と漏洩者が報道機関と通信した方法は、少なくとも外部グループの関与を示唆しています。 。
でザ・ヴァージへのメール、この攻撃に関与していると称するハッカーは、このグループは「平等を望んでいるが、ソニーはそれを望んでいない」と述べた。
Re/Code と NBC News のレポートによると、攻撃は中国または北朝鮮によるものかもしれないそしてソニーの次期映画「ザ・インタビュー」への報復となる。その映画の前提は、北朝鮮の指導者、金正恩氏の暗殺計画です。
ソニーの広報担当者はMashableへの電子メール声明で、「ソニー・ピクチャーズは、先週明らかにサイバー攻撃だったものに関連した問題に引き続き取り組んでいる。同社は継続的な事業継続を確実にするために多くの重要なサービスを復旧しており、ソニー・ピクチャーズと緊密に連携している」と述べた。法執行当局がこの問題を調査するよう命じた。」