元ITマネージャーが不正アクセス!読むべきでなかった企業メールに驚きの実態!
引用元:https://news.ycombinator.com/item?id=45515657
元ITマネージャーが不正アクセスして、メールを全部見てたんだって。彼は「無害だった」って言ってるけど、こういうコンプライアンス違反はマジで気分悪いよな。うちの会社のディレクターも似たようなことばっかりやってる。勝手に契約進めて、後でサインできないって言い出すんだ。AIに企業データ食わせようとした時なんて、法務部が止めるまで「みんなデータ読んでるじゃん」って反省なし。上に立つ人がバカだとホント大変だよ。
大手Fortune 100企業2社で働いてたけど、経営陣がベンダーから個人的なキックバックを受け取ってるのを公然と見たよ。会議で指摘したら、それ以来会議に呼ばれなくなったっけ。
>会議に呼ばれなくなった。
まあ、完全に損したわけじゃないってことだね。
俺が関わった全てのPOC(概念実証)は、どの会社でも経営陣が知り合いの会社に仕事回すためにやってたよ。
まさにそうだね。うちの会社、CEOの友人のスタートアップを助けるために、健康保険プラン全部そこに切り替えたんだ。契約後に「プランどう変わったか」の説明会があったんだけど、そのスタートアップは「まだ把握に時間がかかる」だって。そのズーム会議の、あの重い沈黙は忘れられないよ。
うん、ホントよくある話だよね。
ディレクターの行動は、HRディレクターがよくやる手だね。彼らって、誰にも相談せず数年ごとにパフォーマンスレビューのソフトウェアを変えて、莫大な金を払うのが好きだもん。今人気のLatticeはUXがマシだけど、PeopleSoftみたいな昔のはホントひどかったな。
LatticeのUIを良いと思うなら、他の選択肢がどれだけひどかったか想像もできないだろうね。
PeopleSoft、特に2010年代半ばより前は設定次第でひどいUXだったよ。一つの変更に6ページもクリックさせられたり、自己評価がFirefoxとIEで文字数違ったり。Smart Goalsの設定なんてありえなくて、書いた文章が消えるからメモ帳で書いてコピペしてた。Latticeは完璧じゃないけど、「どうせ誰も真面目に使わないから、簡単に済ませて」って感じで設計されてる。LLM機能で適当な自己評価も綺麗にしてくれるしね。
これってOracleの話っぽいな。もちろん、彼らはもっと巧妙にやるけど、Oracle製品からはできるだけ距離を置くべきだっていつも人におすすめしてるよ。
“このソリューションを評価して、もし適切なら移行しよう”っていうリクエストがシンプルだったって話だけど、俺、理解するのに何回か読み直したよ。”このソリューション”ってのが、前の段落のベンダー抜きでオープンソースのスタックのことだったんだね。最初ベンダー込みだと思って、比較が始まった時すごく混乱したわ。
俺もそれを理解するのに何段落かかかったよ。
著者が、その会社は訴訟好きだって言ってたじゃん。だから、彼が個人的に訴えられたくないって思うのはすごく納得できる。会社の役員ですら、この会社と争おうとしないってことを覚えておいてね。
だから、やっぱりOracleか。
“いつかこの話で本当の名前が明かされるといいな”ってコメントに対して、”関係者のプライバシー保護のため”ってあるけど、企業にもプライバシー権ってあるんだっけ?って皮肉は置いといて、この人の気持ちは分かるな。
昔、俺が働いてた会社が自然災害中にひどいことしたんだ。俺は声を上げたけど、周りの同僚は黙って受け入れてた。仕事をクビになりそうだったから、最初のチャンスで会社を辞めたよ。
20年前の話で、記事に書こうとは思ってるんだけど、なかなかできないんだ。会社を守りたいとか、訴訟が怖いってわけじゃないんだよね。でも、実際に書くって考えると、何かが心に重くのしかかるんだ。
全部もう10年以上前のことだし、今さら何の意味がある?誰も責任を問われないだろうし、会社ももう同じ経営陣じゃない(名前すら違う)。
俺の個人ブログには、これまで働いてきたいくつかの企業に関するヤバいことを明かす“デッドマンズスイッチ”があるんだけど、誰が気にする?それが重荷の一部なんだ。何がいいことある?もし誰か読んでくれたとしても、怒らせるだけだろう。それが何になる?
でも俺もまた、Hacker Newsで”名前を晒せ!”っていつも叫んでる一人なんだ。だから、偽善者だね。人生ってそんなもんさ。
もしかして、PayPalがSomethingAwfulのハリケーン・カトリーナ募金活動を凍結したって話?
ぶっちゃけ、どの会社も道徳も倫理もないって、みんなもう知ってることじゃん。
災害につけ込む会社に誰も驚かないし、ショックも受けないよ。
バレなきゃ自分たちで災害を起こすことすらやりかねないしね。
彼らのやってることを記事にしても、虚空に叫んでるような気分になるだけだ。
ブログにデッドマンズスイッチってどうやって実装するのか気になるな。
毎月公開する記事を予約投稿しておいて、トリガーされる前に十分な期間だけ公開日をずらし続ける、とか?
会社名なんてどうでもいい、どこも似たようなことしてるし。
関わった個人の名前を挙げてほしいんだけど。
この会社、すごく非倫理的なやり方で仕事してたみたいだね(GDPRより前だから、だいぶ昔の話だろうけど)。
市場と結社の自由でこの手の問題を解決したいなら、避けるべき相手を知る必要があるよね?
誰のこと?記事の捕食的なクソ行為は、Open Sourceに限らずどこにでもあるよ。
私たちは信用できない企業の情報を、証拠付きで共有することで集団免疫を持つべきだ。
他の人を助けるために何もしないなら、虐待に加担してるのと同じだよ。
Oracleに対してはそうしてる。知っててOracleと取引するのはやめよう。
全く馬鹿げてる。
法的報復を恐れて名前を出さないから、企業はこんなやり方で経営を続けられるんだ。
その恐怖の文化こそが問題だよ。
EUは法的に見ても文化的に見ても、言論の自由をあまり重んじていないみたいで残念だね。
この人は本当に「地雷原」で働いているんだね。常に問題や強力な敵に囲まれている感じだ。URL: https://news.ycombinator.com/item?id=43985971
地雷原ってのはイタリアのビジネス環境そのものだね。家族や友人が経営する中小企業ばかりの国では、こういうことが日常茶飯事だよ。
今回の話が本当なら、筆者は税務調査担当の警察、恐ろしいGuardia di Finanzaの誰かの親戚なんじゃないかな。彼らはほとんどの中小企業に生殺与奪の権を握ってるからね。
タイムラインとか関係者で混乱してるんだけど、「会社が独自のプロプライエタリな追加機能つきのマネージドバージョンを提供した」ってのはオープンソースじゃないように聞こえるんだけど?
そういうプロジェクトはたくさんあるよ。例えばGitLabにはオープンソースの「Community Edition」があって、その後にお金を払う「Premium」や「Ultimate」エディションがあるよね。
たとえ全部オープンソースだったとしても、MoodleやSugarCRMみたいにブランディングの問題があることもあるよ。
これは「法の字面通りに解釈する」ケースの一つだと思うよ。ヨーロッパの法律(というかヨーロッパ各国の法律)は、公共部門にオープンソースの使用を義務付けていることが多いんだ。その理由は相互運用性の促進、ベンダーロックインの回避、デジタル主権など様々で、EU委員会は「公共のお金=公共のコード」という原則を持っている。
だから、他人のコンピューター上でオープンソースを使うことは、技術的にはその要件を満たすんだけど、要件が存在する理由(特にベンダーロックイン回避)の一部は満たされないっていうね。笑える話だ。
もっとコメントを表示(1)
何か契約にサインする前に、必ず細かい条項を全部読むべきだよ。消費者向けの商品でもそうだけど、ビジネス関連の契約では必須だからね。
そうだね、小規模なビジネスでもね。僕が役員をしているNPOで、スタッフが市販品よりもっと良いプリンター/コピー機が欲しいって言ったんだ。小さいオフィスだからいいよって言って探させた。
契約書が来て、チェック済みだからサインしてって言われたんだけど、とんでもない内容だったよ。
– どんな理由で契約を解除しても、たとえ相手が契約条項を一つも守らなくても、残りの契約全額を即座に支払う。
– レンタル形式なんだけど、期間中に機器の購入代金を全額支払うことになってて、でも機器はベンダーのもの。だから解除しても機器代全額払って、機器はベンダーが持っていく。
– どんな法的紛争でも、どちらに過失があっても、僕らが全ての弁護士費用を払う。
「いや、無理だ」って言ったら、スタッフは一年くらい僕に怒ってたよ。みんな、ああいうものにサインしちゃうんだよね。
ID.meの規約を読んだけど、ひどいよ。「自発的に」公民権を放棄することを要求されるんだ。このサービスを使いたくないんだけど、IRS.govにログインする他の方法はない。
YouTubeはGoogleアカウントなしでは見られないし、保護者のグループチャットはWhatsAppのMeta TOSに同意しないと参加できない。他にもたくさんあるよね。
私も非営利団体の役員をやってるんだけどさ、独立したLLCと非営利団体を設立して、LLCがサービス契約を結び、非営利団体がそのサービスを使う形にしてるんだ。経験豊富なコンサルタントにこのやり方を勧められたんだよ。
以前、ひどい契約(またプリンター/コピー機だった)を破棄したことがあって、LLCも廃止にしちゃった。サービス業者はプリンターを回収しに来ることすらなかったよ。一方的に料金を200%も値上げするような契約だったんだ。ベンダーが契約終了の要望に応じなかったから、ウォーターサーバーのサービスもやめたな。どうやら非営利団体ってこういう手口のターゲットになりやすいみたいで、今ではLLCを通じてビジネスしてるから、非営利団体だってことは隠してるよ。本当にひどい世の中だよね。
最近LLCってどうやって作ってる?俺はLegalZoomで設立したんだけど、毎年費用が上がってるんだ(今年は100ドルも値上げされた)。UIからは解約も会社解散もできないし、オンラインで申し込んだのに、LLCを解散するには州に連絡して、LegalZoomに証明を見せなきゃいけないらしい。マジでヤバいよね。他にこの手の良いベンダーとかないの?
「一方的な契約変更」ってどうなるのか気になるな。もし細則が気に入らなかったら、その場で6ヶ月の解約通知を出さなきゃいけないのかな?
もし奴らが契約を一方的に変更して、6ヶ月の通知期間を12ヶ月に延ばしてきたら、その場で12ヶ月の解約通知を出さなきゃいけないってことだよね……。しかもその間に、解約期間を遡って延長できるなんて一方的に契約変更しないか心配だ。
俺の知る限り、「一方的な契約変更」ってほとんどの裁判所でかなり疑わしいとみなされるべきじゃない?
そもそも「ベンダー」なんてなんで必要なの?自分で書類作って、州で必要な100ドルくらいの費用を払えばいいじゃん。最悪でもNolo’s LLC Handbookみたいな本[1]を40ドルくらいで買えば済む話だよ。
[1]: https://www.amazon.com/Nolos-LLC-Handbook-Agreements-Instruc…
それと関係なく、裁判所は以前、契約で民事上の権利を放棄することはできないって判断してたんだ。以前はね。今のSCOTUSは違うだろうけどさ。
それって契約の意味をなくさない?
自分で登録代理人になりたくないからだよ。
仲裁条項って、これどうなるの?
スタッフがダメな複合機にイライラするのは当然だけど、もっと良いベンダーや既製品があったはずだよね?どんな特別な機能があったら、あんなひどい契約条件を飲んでまで契約しちゃったんだろうね?
契約書をちゃんと読めって言うけど、この記事の場合は意味ないよね。契約条件が一方的に変わったって書いてあるし、IT業界じゃよくある話だよ。
サイン時に読んでも、後から変更されたらどうしようもないじゃん?最近は「利用規約変わったよ、嫌なら知らん」ってメールが来ればマシな方だよ。弁護士じゃない人は違法って言うけど、実際は普通に起きてるし、裁判で覆された話も聞かないよね。
「GoogleアカウントなしでYouTubeは見られない」って?見られないの?この前デスクトップを再インストールした時、ログインなしで見れたよ。
履歴がないからおすすめタブが空っぽで、おすすめできないってだけだよ。それで動画が見れないって勘違いしてるんじゃない?
普通、「一方的な修正」は契約条項に盛り込まれてるから、元々の契約の一部なんだよね。
VPNを使うと、動画じゃなくてログイン画面が表示されるよ。
彼らは、顧客が契約書を読まなかったり、自分で計算や調査ができなかったりするのを当てにしてるんだ。
こういう詐欺のターゲットは、ITに詳しい人がいない中小企業だよね。
それ、古いアドバイスだよ。だいたい登録代理人が言うことだけど、彼らって本当の弁護士じゃないことが多いんだよね。
それなら、もう白紙にサインするのと同じじゃん。
契約書なんて何のためにあるんだ?
どの市民権が侵害されてるの?アメリカ合衆国憲法修正第6条は刑事事件にしか適用されないよ。
まあ、そうだね。俺ならお金を払ってまで人にやってもらうことはないけど、そういう選択をする人の気持ちもわかるよ。
一方的な契約変更って、法的には結構普通みたいだね。詳しくはここ見てみ? https://www.oncontracts.com/unilateral-amendments/
普通は新しい条件を受け入れるか契約終了かの二択(Hobson’s choice)だね。だから相手もひどいことはできないはず。でも、何もしないと新条件を受け入れたことになる場合、組織内では見過ごされて問題になることが多いよ。
契約内容の費用には、分析の時間や労力、間違った分析のリスクも加味すべきだよ。正直、そこまでやる価値ないことの方が多いかもね。
「一方的な変更」ってのは語弊があるかも。実質、使い続けることで暗黙に同意する新しい契約だね。遡及的な変更はなし。もし通知期間が12ヶ月に変わって拒否したら、拒否は以前の6ヶ月の条件が適用されるよ。他の規定がなければ、最後の6ヶ月に新条件は適用されないはず。
契約は君が許可しないと、そんな変更は無理だよ。なんで許可しちゃうの? ToSは低価値の個人向けでしょ。500席とか公共機関は全く別の話だよ。
そんな契約にサインしたら、もう失敗だよ。Terms of Serviceやライセンスは普通の契約とは違うし、法的な制約も少し強いからね。ていうか、ちゃんとした契約でそんな条項はすでに危うい立場にあるけど。
もう一つ、加盟店カード処理のひどい契約があるよね。うちの地元の銀行だと月10ドル、インターチェンジ+0.15%、契約なしでできるのに、他所は手数料3%、3年契約とかでさ。
弁護士じゃないけど、彼らがメールを読んで、その後にやったことは明らかに違法だと思うよ。契約全体が無効になるはずだよね。
もっとコメントを表示(2)
そうだけど、契約解除したら、めちゃくちゃ好戦的な相手と裁判になるし、相手は君にお金をかけさせようと必死になるだろうね。倫理より安全を優先する組織は、余分な費用を受け入れるだけみたいだ。世の中には正しいことのために法廷で戦ってる企業や組織もあるよ。不公平な契約を打ち破るとかね。Agency Aはそういう組織じゃなかったのが明らかだね。
俺が勤めてた超成功した多国籍企業は、割と倫理的だったと思うんだ(平均よりは全然マシ。例えば、約束や契約は守るし、不利になっても反故にしない)。連中が取ったアプローチは、「ソフトターゲット」には絶対ならないってことだった。迷惑な訴訟には、和解じゃなくて徹底的に戦う。ベンダーや顧客の非倫理的な行動には、法廷で会おうぜってスタンス。最初の10年くらいはコストがかかっただろうけど、長期的には莫大な費用と手間を省くことになったんだ。
それ、Neweggがパテントトロールに対して持ってた哲学と一緒だったの思い出すわ。
うん、特にこれが政府機関だとしたらね。請負業者がメールサーバーにバックドアを仕込んで秘密裏に読んでるだって?どんな腐敗行為、ひいては外国のスパイ活動まで企んでたか想像してみてくれよ。もしアメリカだったらFBIやCIAを送り込んでも正当化されたはずだぜ。そうすれば、ベンダーの問題もあっという間に解決しただろうな。
俺は何も想像する必要ないね、Belpaese(イタリア)じゃいつものことだよ。SISMI-Telecomスキャンダルとかね。URL: https://en.wikipedia.org/wiki/SISMI-Telecom_scandal
2006年7月21日、Telecom社のセキュリティ責任者タバロリの前任者で、元DIGOSメンバーのアダモ・ボーヴェが、システムに痕跡を残さずに盗聴できる欠陥を発見した後、ナポリで高速道路の橋から転落死したって。「高速道路の橋から転落死」だって?!?!
それと、ロベルト・カルヴィみたいに「橋の下に落ちた」よりはマシだろ。URL: https://en.wikipedia.org/wiki/Roberto_Calvi
法的なアドバイスじゃないけど、こんなことされたら絶対そいつらの名前を晒して批判すべきだよ。
彼らがメールを読んでたってことは、適切に証拠があれば刑事告発の根拠になるんじゃないかなって強く示唆してるね。その脅しを使えば、あの会社も引くだろうさ。
俺、HNの連中はこういう状況になったこと多いんじゃないかなって思うんだ。俺も昔、システムからの「バックアウト」で機密事項があったんだ。他の会社と共有コードベースだったんだけど、俺らの開発者がコードに「Reversing Migration Script」ってコメントを入れたんだよ。
コミットから1時間も経たないうちに(その時は知らなかったけど)、両社のCEOが「何しやがったんだ!」って大激怒で修羅場になったよ。後から分かったんだけど、相手の会社が、俺たちが契約を解除しようとしてないか、コード内のそういうキーワードを積極的に監視してたんだってさ。契約満了で正直に更新しないだけの話だったのに、密告者が誰だって大捜索が始まって最悪だったよ。
最近はこういう社会病質が当たり前で、俺みたいに真っ当に仕事してて、裏でマキアベリ的な計画を立ててない古いタイプはダメなのかもな。そりゃ20代しか雇いたがらないわけだ/冗談/半分本気。
監視される可能性のあるものには、監視をトリガーするような変数名を何でもつけるべきだね。昔のNSAコピペみたいにさ。
じゃあ、俺の一文字変数名って防御的プログラミングの一種なわけ?
そうだよ。でも、俺が言いたいのは逆の極端な方法、つまり全変数が監視システムに引っかかって、監視側が諦めるまで役に立たないデータで溢れさせろってこと。
int *nsa_spy_data_buffer
どうやってスパイしてたんだ?みんながこの事件から学べるように教えてくれ。
実はよくわかんないんだ。別のコメントでも言ったけど、通常コードや技術的な問題には数週間かかってたのに、この適当なコード変更は作られて数分でCEOに報告されたんだ。CI/CDはGitHub Actionsだった。標準的なスパイツールがあるかどうかも不明だな。
> 他社と共有コードベースがあったんだ。うちの開発者がコード内に”Reversing Migration Script”みたいなコメントを書いたんだよ。
それはスパイ行為じゃないよ。共有依存コードのコードレビューってやつだ。
コードレビューを数分でCEOに報告するなんて普通する?そんなことないと思うけどね。好きに考えればいいさ。この会社は他のコード関連の問題には通常数週間もかかってたんだ。俺は彼らのことを受動的攻撃的に遅いって表現するよ。もしかしたら全部完璧にレビューしてて、ただ”期待値を管理”するために承認を意図的に遅らせてただけなのかもね。
> 実話に基づいたホラーストーリー
じゃあ、これってフィクションなの?詳細が重要だよ。もし少しでも事実と違うなら、この話は全然面白くなくなる。
”ただし、関係者や企業のプライバシー保護のため、私は意図的に事実を混ぜています。テクノロジー、文脈、具体的な詳細は、他の経験と修正または統合されています。”
名誉毀損訴訟を避けるには十分な変更だろうね。メディアが報復を恐れて実話の登場人物に偽名を使うのと同じさ。
