Seta Mamikoさん❣
「LUMIX」製品サイトの画像、ストックフォト使用に批判 パナソニックは謝罪「誤解を与える画像使用だった」についておしえてください
パナソニックが最近発表した新型ミラーレスカメラ「LUMIX DC-S9」の商品サイトが物議を醸しています。このカメラの特徴や新機能を紹介するサイトの写真が、実際にS9で撮影されたものではなく、ストックフォトの画像を使用していると、X(旧Twitter)上で指摘されています。カメラ愛好者らからは、機能や性能が異なる別のカメラで撮影された可能性もあるため、これらの画像を使うことは適切でないとの意見が出ています。
パナソニックは、素材サイトからの使用を取材に認め、「誤解を与える画像使用であったことを、深くお詫び申し上げます」と謝罪しています。また、製品サイトの画像については「可及的速やかに差し替えを予定しています」と回答しています。さらに、公式サイトを更新し、「クリエイティブを生み出すカメラの商品ページとしてふさわしいかの検討が不十分であった」と述べています。
このような問題は、消費者庁の景品表示法にも関連しています。同法では、実際よりも著しく優良だと示すなどして、不当に顧客を誘引し、自主的かつ合理的な選択を阻害する恐れがある表示を禁じています。パナソニックは今後、誤解のない商品紹介ページを作成するための対策を検討していくと報告しています。
: 「LUMIX」製品サイトの画像、ストックフォト使用に批判 パナソニックは謝罪「誤解を与える画像使用だった」
: 「LUMIX」製品サイトの画像、ストックフォト使用で波紋 「誤解を与える画像使用だった」
他の企業でも同様な問題が起きたことはありますか?
はい、他の企業でも同様な問題が発生していることがあります。例えば、Uber Technologiesのセキュリティインシデントが挙げられます。Uberのネットワークにハッカーが侵入した事件では、ハッカーがVPNインフラの資格情報を入手したことが原因でした。この事件から、他の組織が同様のインシデントを防ぐためにどのような対策を取るべきかについて学ぶことができます。
具体的には、Uberの事件では以下のような進行がありました。
– 初期アクセス:ハッカーはUberのVPNインフラの資格情報を入手し、UberのIT環境にアクセスしました。Uberは多要素認証を実装していましたが、攻撃者は請負業者のUber法人パスワードをダークウェブで購入し、請負業者のデバイスがマルウェアに感染していた後に成功裏にログインしました。
– 情報収集:資格情報を盗まれた請負業者は重要なシステムへの特権アクセス権を持っていませんでしたが、ネットワーク共有にアクセスできました。さらに、制限付きのアクセス権があるにもかかわらず、ハッカーはThycoticというPrivileged Access Management(PAM)ソリューションの特権資格情報を含むPowerShellスクリプトを見つけました。これにより、PAMユーザーの資格情報を盗み、Uberのシークレットサービス(DA、DUO、AWS、GSuite、Oneloginなど)にアクセスできました。
– 特権エスカレーションと重要システムへのアクセス:ハッカーは異なる重要システムとツールの昇格権限に必要な管理者資格情報を盗みました。Uberの場合、攻撃者はSlack、Google Workspace Admin、AWSアカウント、HackerOne Admin、SentinelOne EDR、vSphere、および財務ダッシュボードにアクセスしました。
この事件は、脅威は常に存在し進化していることを示すものであり、組織は変化する脅威の風景に適応し学習する必要があることを再確認させてくれます。他の企業も同様の攻撃を防ぐために、適切な対策を講じるべきです。
: Insights from the Uber Breach: Ways to Prevent Similar Attacks
他の企業で起きたセキュリティインシデントはどんなものがありますか?
もちろんです。過去10年間には、多くの企業で重大なセキュリティインシデントが発生しています。以下は、過去10年間において特に顕著なセキュリティ問題と侵害をいくつか紹介します。
– SolarWindsハックとFireEyeの侵害:2020年12月、ネットワークモニタリングツール「SolarWinds Orion」に対するサプライチェーン型のサイバー攻撃が世界中に衝撃を与えました。この攻撃では、FireEyeのレッドチームツールと内部脅威インテリジェンスデータを悪用して、悪意のあるバックドアアップデート(SUNBURSTと呼ばれる)をインストールし、約18,000の顧客に影響を及ぼし、攻撃者にネットワーク上のデータの変更、盗難、破壊の権限を与えました。SolarWindsは後に、数千の組織がマルウェアをダウンロードしたものの、実際にSUNBURSTを介してハッキングされた顧客数は100件未満であったと述べています。この攻撃は、パッチが2020年12月13日にリリースされたにもかかわらず、感染したサーバーが今も存在し、パッチ前に設定された休眠ベクトルの存在を知らない企業によって攻撃が行われていることを示しています。
– 第三者パートナーに関連するセキュリティインシデント:2021年秋にCyberRisk Alliance Business Intelligenceが実施した調査によると、250人の米国のITおよびサイバーセキュリティの意思決定者と影響力を持つ人々のうち、91%が過去1年間に第三者パートナーに関連するセキュリティインシデントを報告しています。15%は20回以上のパートナー関連のインシデントを報告しています。
– 2022年の主要なデータ侵害とサイバー攻撃:2022年にはさまざまな大規模なデータ侵害とサイバー攻撃が発生しています。これには、個人情報の漏洩、ランサムウェア攻撃、サプライチェーン攻撃などが含まれています。
– 物理的なセキュリティインシデント:2022年には、大規模なグローバル企業が物理的なセキュリティインシデントにより合計1兆ドルの収益を失いました。経済的な不安が今後12か月で最大のセキュリティに影響を与える危険であると予想されています。
これらのインシデントは、企業がセキュリティ対策を強化し、サイバー攻撃やデータ侵害から保護するために引き続き努力する必要があることを示しています。: 10 industry-defining security incidents from the last decade : [Over 90% of organizations had a security
これらのインシデントから学べることは何ですか?
これらのセキュリティインシデントからは、組織がセキュリティ対策を強化し、サイバー攻撃やデータ侵害から保護するために以下の点を学ぶことができます。
– サプライチェーンの重要性:SolarWindsハックは、サプライチェーン攻撃の例です。サプライチェーンは、サードパーティベンダーやパートナーとの連携を含む広範なネットワークであり、セキュリティの脆弱性を最小限に抑えるために適切な対策を講じる必要があります。
– 特権アクセスの管理:攻撃者は特権アクセスを狙うことが多いため、特権アクセスの管理と監視は重要です。特権アカウントの使用を制限し、適切な認証と認可を実施することで、攻撃リスクを低減できます。
– サイバーセキュリティ教育とトレーニング:組織の従業員はサイバーセキュリティの基本を理解し、適切な対策を実施できるようにするために教育とトレーニングを受けるべきです。フィッシング攻撃やマルウェアの感染を防ぐためのベストプラクティスを共有しましょう。
– インシデント対応計画の策定:組織はインシデント対応計画を策定し、攻撃が発生した場合に迅速かつ効果的に対応できるようにする必要があります。これには、通信戦略、復旧プロセス、法的手続きなどが含まれます。
– セキュリティの進化と適応:サイバー攻撃は日々進化しており、組織は最新の脅威に適応し、セキュリティ対策を更新する必要があります。
これらの教訓を活用して、組織はセキュリティリスクを最小限に抑え、データと顧客の信頼を守ることができます。: 10 industry-defining security incidents from the last decade