Last Updated on 2024-10-31 08:02 by admin
ディズニーの元メニュー制作マネージャー、マイケル・シューアー容疑者が、2024年6月の解雇後、同社のメニュー作成システムに不正アクセスを行い、10月23日に連邦刑事告訴された。この事件は、同社で発生した一連のセキュリティインシデントの一部として注目を集めている。
事案の主な内容:
- 発生期間:2024年6月から7月にかけて複数回
- 不正アクセスの対象:ディズニーのレストランメニュー作成システム
- 被害総額:約15万ドル(約2,250万円)の損害
改ざんの内容:
- メニューのフォントをウィングディングスに変更
- アレルギー表示情報の改ざん
- メニューのQRコードの改変
- 従業員14名のアカウントに対し、10万回以上のログイン試行
関連する事案:
- 2024年7月:ハッカー集団「NullBulge」による大規模データ漏洩(約1.2テラバイト)
- 2024年9月:ディズニーによるSlack全社使用停止決定
- Slackからの情報流出:メッセージ約4,400万件、スプレッドシート18,800件以上
from:Ex-Disney Employee Charged With Hacking Menu Database
【編集部解説】
今回の一連の事件は、企業のサイバーセキュリティにおける複合的な脆弱性を露呈させました。
特に注目すべきは、内部不正とクラウドサービスのセキュリティリスクが同時期に顕在化した点です。
シューアー容疑者による不正アクセス事件は、従来型の「報復型」内部不正の典型例です。しかし、同時期に発生したNullBulgeによるデータ漏洩は、AIやクラウドサービスという新しい技術領域における脆弱性を示しています。
特筆すべきは、NullBulgeが「AI生成アートへの抗議」を動機としていた点です。これは、テクノロジーの進化に伴う新たな形の「ハクティビズム(社会活動的ハッキング)」として注目されています。
ディズニーの対応も示唆に富んでいます。Slack全社使用停止という決定は、利便性とセキュリティのトレードオフに直面する現代企業の典型的な判断といえます。
セキュリティ専門家からは、この種の複合的な攻撃が今後も増加するとの指摘があります。特に、以下の3つの要素が重要視されています:
- 退職者管理とアクセス権限の即時無効化
- クラウドサービスのセキュリティ設定の継続的な見直し
- 内部告発や抗議活動の適切な受け止めと対応