コロンバス市、サイバー攻撃の規模を暴露した専門家を提訴

 (10tv.com)
1 ポイント 投稿者 GN⁺ 2024-09-01 | 1件のコメント | WhatsAppで共有

  • 地裁、市のデータ流出を暴露したサイバーセキュリティ専門家に対する接近禁止命令を承認

    • フランクリン郡の判事は先月、市へのサイバー攻撃で流出した情報の種類と量を公表したサイバーセキュリティ専門家、コナー・グッドウルフに対する一時的な接近禁止命令を承認した
    • グッドウルフはここ数週間、10TVやその他の報道機関とのインタビューを通じて、ダークウェブ上にどのような情報があるのかを詳しく説明していた

  • 市へのサイバー攻撃の経緯

    • 市は7月18日、技術部門でシステムの異常兆候を発見した後、インターネット接続を遮断した
    • 2週間後、ハッカー集団Rhysidaが攻撃を実行したと主張し、6.5テラバイトのデータを保有していると発表した
    • Rhysidaはその後、市から奪取したデータの45%を公開した

  • データ流出の影響

    • 8月13日、アンドリュー・ギンサー市長は、ハッカーが盗み出したデータは破損または暗号化されていて役に立たないと発表した
    • しかしグッドウルフは10TVとのインタビューで、この主張は事実ではないとし、自身がアクセスできる個人情報を示した
    • グッドウルフは最近、コロンバス警察の犯罪マトリクスがダウンロード可能だと明らかにした。このデータベースには、過去10年間の警察報告書から目撃者、被害者、容疑者の情報が含まれている

  • 接近禁止命令と訴訟

    • 市はグッドウルフに対する一時的な接近禁止命令を申し立て、承認を得た。市は最低25,000ドルの損害賠償を求めており、総額は裁判で決定される予定だ
    • 裁判所はグッドウルフに対し、市の盗まれたデータへのアクセス、ダウンロード、配布を中止するよう命じた
    • 市は、グッドウルフが「回復不能な被害」と「中央オハイオ地域全体にわたる広範な懸念」を引き起こしたと主張している

  • 市の立場

    • 市の弁護士ジャック・クラインは、今回の件はグッドウルフの表現の自由を抑圧するものではないと強調した
    • クラインは、この措置は犯罪捜査を脅かすデータの拡散を防ぐためのものだと説明した
    • クラインは、警察官、被害者、目撃者を守るために取り組んでおり、グッドウルフがダウンロードして共有した情報が公共の安全への脅威になると主張している

  • グッドウルフの計画

    • グッドウルフは、自身が作成したWebサイトを通じて市の盗まれたデータを公開する計画だと明らかにした。しかし、このWebサイトは人々が自分の名前がデータ流出に含まれているか確認するためにのみ使われると主張している

  • 市の反応

    • クラインの事務所は、判事の決定を尊重しており、これは盗まれた機密の人事データおよび被害者データの拡散を防ぐための前向きな措置だと発表した
    • 市はグッドウルフに対し、犯罪行為による損害賠償、プライバシー侵害、過失、民事上のコンバージョンの4つの請求を提起した
    • 最終事前審理は2025年9月18日に予定されている

GN⁺のまとめ

  • 今回の事件は、市のデータ流出に関する重要な情報を公開したサイバーセキュリティ専門家に対する法的対応を扱っている
  • グッドウルフは、市の発表とは異なり、ハッカーが盗み出したデータが有用である事実を明らかにし、論争を呼んだ
  • 市は、グッドウルフの行動が公共の安全への脅威になると主張し、法的措置を取っている
  • 今回の事件は、データ流出に関連する法的・倫理的問題を改めて想起させるとともに、データセキュリティの重要性を強調している

関連記事

1件のコメント

 
GN⁺ 2024-09-01
Hacker Newsのコメント

  • 元ペンテスターとしてGoodwolfには共感するが、実データを公開するのはほとんど常に悪手だ

    • バグバウンティプログラムに限定されたスコープがあるのはそのためだ
    • Goodwolfが進行中の調査や機密の警察報告に関するデータを共有したことに、市が腹を立てているようだ
    • データを持ち出して他人に渡すのは、明らかに良い考えではない
    • 記者にデータが存在し、ダウンロード可能であることを証明するには、データにアクセスしなくてもできる方法がたくさんあった。たとえば、フォーラム投稿のスクリーンショットを撮る、リンクを記者に送る、どのような種類のデータかを説明する、などだ
    • もし彼がそうしていたのに市がこのように反応したのだとしたら、それは明らかな濫用だ
    • 進行中の調査に関するデータを記者に拡散するなと命じるのは、不合理ではない
    • 自分に関する出来事がさらに広く拡散されることを望む人はいないだろう
    • これは簡単にやってしまい得るミスなので、彼にはとても共感する
    • 業界に入る前は、これがホワイトハットハッキングだと思っていた
    • 侵害への認識を広めるのは確かに良いことだが、どうやるか が本当に重要だ
    • 2016年に約1年この業界で働いていたが、今日でも侵害された実データを配布することが、ペンテスターとして働く誰にとっても許容されるとは思わない

  • Goodwolfは自分のWebサイトを作り、市の盗まれたデータを公開すると脅している

    • Goodwolfは10TVに対し、自分のWebサイトを立ち上げる計画はあるが、人々が自分の名前がデータ侵害に含まれていたかどうかを確認できるようにするつもりだと語った
    • これは、パスワードが漏えいしたかどうかを確認するサイトを設けるのとは別物だ
    • 誰かの名前を入力して、その人が犯罪捜査の証人かどうかを確認できてしまう可能性がある
    • Kleinは「これは表現の問題ではなく、キーボードでダークウェブにアクセスして情報を収集し、コンピューターにダウンロードしたうえで、報道機関や他者に配布するという実際の行為に関するものだ」と述べた

  • これは、市がデータを保護できなかったことについて大衆に嘘をついた件だ

    • 研究者たちは単に、Columbus, OHのセキュリティシステムがどれほどひどいかを指摘しているだけだ
    • 8月13日、市長Andrew Gintherは、ハッカーが盗んだデータは破損しているか暗号化されているため、使い物にならない可能性が高いと述べた
    • 数時間後、Goodwolfはそれが事実ではないこと、そして自分がアクセスできた個人情報の種類を示した
    • 市の指導部は全員解任されるべきだ
    • セキュリティの欠如を露呈され、大衆に嘘をつき、その嘘を正当に指摘されたら、この愚かな訴訟でさらに火に油を注いでいる
    • うろたえた市が、市がどれほどめちゃくちゃかを皆に知らせた目障りな人物を訴えている
    • 公開された情報の内容を調査するセキュリティ研究者を訴えても、誰も守れない
    • EFFやACLUが、この愚かで武器化された差し止め命令に対抗する弁護を支援するのにうってつけの事例だ

  • Columbusに何年も住んでいた

    • これは完全にその通りだ
    • 赤い州の青い都市には、自分を守るうえで非常に大胆になる何かがある

  • リストに追加:

    • Hacking syndicate: 訴えられていない
    • ハッキングされた記録をホスティングする公開Webサイト: 訴えられていない
    • 嘘をつく公務員: 訴えられていない
    • この3つを指摘したJoe Schmoe: 訴えられた