悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年08月27日(水) 17時51分

『イーベイ』で落札の携帯端末に大量の企業機密情報が残存(上)WIRED

 『イーベイ』の出品リストには「『ブラックベリーRIM』、現品!」と掲載されていた。シアトルのコンピューター・コンサルタント、ユージン・サックス氏(仮名)は、電子メールのチェック用にポケットベルサイズの端末が欲しいとつねづね思っていたので、これに入札した。その結果、 http://www.wired.com/news/images/0,2334,60052-8506,00.html 4MBのメモリを積んだワイヤレス携帯機器を15ドル50セントという安値で購入(写真)できた。

 落札した http://www.wired.com/news/images/0,2334,60052-8508,00.html ブラックベリー(写真)には、ケーブルも同期用クレードルもソフトウェアもマニュアルも付属していなかった。だがその代わり、はるかに貴重なものが付いてきた。企業データの数々だ。

 サックス氏がブラックベリーのバックパネルに電池を入れると、前の持ち主にとっては見られたくないはずのものがいくつか見つかった。それは、金融サービス企業 http://www.morganstanley.com/ モルガン・スタンレー社の社内で交わされた200通を超える電子メールと、世界中に散らばっている同社の幹部1000人以上の名前、肩書き(副社長から取締役まで)、メールアドレス、電話番号(一部は自宅の番号)をまとめたデータベースだった。

 サックス氏によると、これらの情報はすべて、同氏がブラックベリーの電源を入れた瞬間から閲覧可能だったという。

 匿名希望の出品者は、モルガン・スタンレー社の副社長(買収および合併担当)だった人物で、出品の数ヵ月前に同社を退職した。

 ワイアード・ニュースがこの件で意見を訊いたある金融業界の専門家は「モルガン・スタンレー社の人間にしたら、たまらないだろう」と話す。「イーベイで16ドル払ってそんな情報が手に入るなど、あってはいけないことだ」

 電子メールの文面には、テクノロジー企業、海運会社、通信企業、会計事務所などの名が挙がっていた。

 今回の一件は、企業が機密データの適切な管理を公言しながら、実際には怠っていることを示す教訓的な出来事となった。また、機密情報を知り得る立場の社員が、自分たちの使用しているシンプルながらも高度な技術について十分な訓練を受けてないことがいかに多いかも示唆している。

 ブラックベリーの中には、出品者が米チャールズ・シュワブ社に開設した個人退職勘定(IRA)の口座番号、母親の名前と電話番号といった情報や、月々のローン、車関係や米ビザ社からの請求に支払った金額がわかる個人的な電子メールが残されていた。さらに、モルガン・スタンレー社の顧客に対する融資条件、複数の企業の債務再編計画、合併に向けての予備交渉、さらには契約内容の解釈に関わるかなり独創的な方法など機密情報が書かれた電子メールも見つかった。

 機密情報が記された電子メールの1つに、モルガン・スタンレー社の社員2人の間で交わされたものがあった。第三者と交わした契約の条件をすり抜けようとしていると思われる顧客について書かれており、片方の社員が同僚に、「公明正大」を保って契約書に従うよう顧客に伝えることを勧めている。

 「相手は君に、不誠実な行動をとるよう要求しているのだと思う。賢明ではない。正々堂々とすべてを公にしたほうがよいだろう……」

 ブラックベリーの出品者はワイアード・ニュースに対し、情報が残っていることは知らなかったと語った。数ヵ月前に電池を抜いたので、何もかも消去されたものと思い込んでいたという。

 だがモルガン・スタンレー社は、この出品者はすべての機密情報を破棄あるいは返却することを約束した契約に違反していると述べる。

 モルガン・スタンレー社の広報担当者は、「社員は出勤最後の日に、持っている機密情報をすべて削除、破棄し、当社に属する携帯機器や携帯用記録メディアをすべて返却しなければならない」と話す。「会社を去るときには誓約書にサインし、その際、この規定についても再確認される」

 ブラックベリーに残されていた情報の多くは、すでに公表されて機密事項ではなくなった契約に関するものだ。しかし、前述の金融業界の専門家は、今なお株式市場での儲けをねらって取引できるような情報がなかったのは、ただ単に運がよかっただけだと話す。ブラックベリーを出品したのが退職直後だったら、交渉中の契約もあったはずだ。

 たとえば、モルガン・スタンレー社のある顧客の債務再編に関する一連の電子メールが残っていたが、どうやら、競合企業の買収を目指して資金の調達が計画されていたようだ。ところが、関係各社についての公表情報から判断すると、この買収話はまとまらず、モルガン・スタンレー社の顧客は数ヵ月後に別の競合企業を買収している。

 この買収に関する情報を誰かが事前に入手していたら、買収の相手企業にさらに高値を提示することで契約を阻止したり、相手企業の株を購入して買収価格を吊り上げることも可能だったはずだ。

 前述の金融業界専門家は「これは守秘義務の違反であり、当の顧客が誰であれ、この事実を知ったらかんかんに怒るにちがいない」と語る。「このような情報は、契約が成立するまで決して公にしたくないものだ」

 電子メールの本文に含まれていた情報のほかにも、『パワーポイント』による機密扱いのプレゼンテーションや財務関係のスプレッドシート、完了した取引のケーススタディーを含む大量の添付ファイルが出てきた。モルガン・スタンレー社の取引の方法を知りたいと思う競合企業にとっては興味深いデータだろう。

 これらの添付ファイルはブラックベリー本体ではなくサーバーに保存されているため、出品者のメールアカウントが無効になった今では閲覧できない。だが、出品者がモルガン・スタンレー社の副社長だったときにブラックベリーを置き忘れていたら、添付ファイルを容易に読めたはずだ。パスワードは設定していなかったと、出品者はワイアード・ニュースに話している。また、ブラックベリーはメモリ内のデータにスクランブルをかけられる暗号化機能を搭載していない。

 ヘッドハンティング会社、 http://www.kornferry.com/ 米コーン・フェリー・インターナショナル社のページ・シュタインボック氏は、モルガン・スタンレー社の社員の名前と自宅の電話番号が含まれているデータベースを「情報のバーチャル金鉱」と呼ぶ。

 シュタインボック氏によると、ヘッドハンターはターゲットとなる企業幹部を追跡するため、同窓会や同業者団体の名簿を定期的に購入しているという。だが、「そのアドレス帳のような電子的なデータがあれば、ねらいをつけた人物の正確で特定可能な名前と電話番号を入手できるという点で、作業が確実にスピードアップする」と語る。

 また、このようなデータベースは、企業幹部の組織図を作成しようと企てる産業スパイやハッカーにも役立つ。代表取締役の名前と肩書き、メールアドレスがわかれば、その人物になりすまし、企業の幹部として電子メールを送ることができる。たとえば、ニューヨーク事務所の取締役になりすまして、シカゴ事務所の秘書と連絡を取り、自宅のメールアドレスに社内資料を送るよう依頼することも可能だ。

(8/28に続く)

[日本語版:米井香織/高森郁哉]日本語版関連記事

http://www.hotwired.co.jp/news/news/technology/story/20030729302.html ベライゾン・ワイヤレス、顧客情報流出につながる欠陥をようやく修正

http://www.hotwired.co.jp/news/news/culture/story/20030312202.html 「感情的な電子メール」の送信は慎重に

http://www.hotwired.co.jp/news/news/business/story/20021205105.html 電子メール保存義務違反で証券会社5社に多額の罰金

http://www.hotwired.co.jp/news/news/culture/story/20020930203.html 政府機関の中古コンピューターによる機密流出を防ぐには


WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ


(WIRED)

http://headlines.yahoo.co.jp/hl?a=20030827-00000001-wir-sci

最新のニュース記事一覧
お問い合わせ