見出し画像

【注意喚起】株式会社LASSIC: 情報漏洩を起こし、被害者に訴訟を仕掛ける

要約

LASSICにコードを情報漏洩され、一度は謝られて約束された補償を求めたら2ヶ月も音信不通、逆に補償内容を払えと訴訟される。その後、SNSで注意喚起し炎上したらLASSICが情報漏洩をやっと認めてプレスリリースを出したが、なぜか1日経たず消されました。


初めに

👋 こんにちは、ICHIGOのCTO、デビッド(@davidasikin)です。僕はインドネシア出身で、20年前に来日しました。日本語は母国語ではありませんので、完璧ではないかもしれませんが、頑張っています。言い回しにニュアンスの違いがあれば、ご了承ください。私の経歴についてはLinkedInでご覧いただけます。

このブログの目的は、株式会社LASSICとこれから取引することを検討する会社が同じ目に遭わないための注意喚起です。LASSIC社は上場企業の顧客を多数抱える会社ですが、公益よりも自社の利益を優先している会社で、我々もLASSIC社が今回の情報漏洩について自ら注意喚起をすることを奨めましたが拒否されていますので、こちらのブログが少しでも役に立てば幸いです。

もしあなたが株式会社LASSICのRemogu(リモグ)に業務委託をして、情報漏洩させられたら、最初は「補填します」と約束されますが、機密情報であるコードが削除された証拠を提出されないまま音信不通となった後、次に訴訟されます。下に詳細を書きます。

2024/6/28(金)に弊社は株式会社LASSICによる情報漏洩に関して注意喚起を発表しました。

上記の投稿で語れない詳細を、できるだけ時系列や、証拠として開示できるものについては開示して書こうと思いますが、弁護士に相談の上個人情報など開示できないものもあるのでご了承ください。
ちなみに、本ブログはフリーランス反対のブログではないです。僕自身はフリーランスという柔軟性がある働き方には同意ですし、弊社には素晴らしいフリーランスの仲間も多数おり、自分もフリーランス上がりの人です。むしろこの働き方がますます発展するように、業界全体がクリーンとなっていければなと思います。

ビジネスしている以上予期せぬことは誰の身にも起こりうると思いますが、大事なのはクライアントやカスタマーに迷惑をかけたらどのように対応するか。よって、このブログは事前防止ではなく、事後対応に焦点を当てます。会社の誠実さが如実に見える事件後の対応について焦点を当てながら注意喚起したいと思います。

重要なポイント

まず、この事件のポイントは以下の4つです。

  1. NDA契約とLASSICの責任:LASSICとの契約は準委任契約で、再委託されます。NDAも締結しており、LASSICも一体として責任を負います。

  2. 本人確認の不備:LASSICは再委託するエンジニアの本人確認をしていませんでした。つまり、顧客先に素性が不明な不特定多数の人材を紹介し、業務を従事させていました。名前、住所、性別、国籍について全て公的な身分証明書で一切確認していませんでした。

  3. 事件後の音信不通:弊社側から何度も状況のアップデートや、コードが削除された証拠を求めているがLASSIC側は無回答、コードが削除されているのかどうなのか全く分からない(なのに、LASSICからエンジニアへのしつこい営業DMはまだ続いている模様。

  4. 不誠実な対応:LASSIC側から出してきた「これまでの業務委託料は無料にします」が、たった1ヶ月で一変して弁護士から「やっぱり業務委託料払え」という内容の内容証明の送付と、なんと同じ内容で訴訟までしてきました。2024/7/19現在、コードが削除された証拠について提出されていないまま。

【株式会社LASSICが起こした情報漏洩】2024年4月25日に若山幸司社長が出してきた提案書
2024年4月25日に若山幸司社長が出してきた提案書
【株式会社LASSICが起こした情報漏洩】被害者に対して送ってきた訴状
2024年7月1日に簡易裁判所から弊社に届いた株式会社LASSICからの訴状。4/25に若山社長が出してきた提案書と180度異なる内容

経緯の詳細

  • 2023年7月28日:株式会社LASSICのから初接触。問合せフォーム宛にRemogu(リモグ)担当者から営業連絡あり。

  • 2023年10月1日:基本契約書及び秘密保持契約書を締結。

  • 2024年2月13日:A氏との契約開始。依頼業務の性質上A氏には多くの機密情報へのアクセスを許可しました。

  • 2024年4月18日:A氏にLASSIC社から報酬が支払われなかったことを理由に、ICHIGOのソースコードを公開すると脅迫。

  • 2024年4月19日:A氏によって弊社のソースコードがGitHub上で無断で公開される。

  • 2024年4月20日~24日:LASSIC社とA氏の間で交渉が行われる。A氏は脅迫など悪意を持って行ってきた人物だが、LASSIC社は単に電話やメールをしてA氏の自発的な行動を依頼するだけであったので、A氏の身元確認やソースコードの削除について進捗は見られなかった。

  • 2024年4月24日:GitHubの公開状態が消えた。ローカルファイルの削除はLASSICからの着金確認後に行うとLASSICが報告。若山幸司社長が初めて弊社に来訪したが、今後についての対応策や提案などなく文字通り「手ぶら」での来訪。我々から定時連絡を要請し、LASSICは応諾した。

  • 2024年4月25日:若山社長が再び弊社に来訪。LASSIC社から「これまでの業務委託費用の取り下げ」を提案してきた。資料では3, 4月分免除、口頭では2月分についても返金するということだった(しかし一転して、その後こちらは請求と訴訟までしてきた)。

  • 2024年4月25日~5月1日:定時連絡はあったがデータが削除された証拠は共有されていない。

  • 2024年5月2日:LASSIC取締役西尾氏より一方的に定時連絡を辞めるとの申し出あり。以降、定時連絡が一切なくなる。

  • 2024年5月30日:LASSICの弁護士より内容証明が届く。内容は3月分請求の未払いについての催促。

  • 2024年5月2日、5月13日, 5月22日, 5月30日, 6月10日, 6月21日:弊社からLASSIC社若山幸司社長宛てにデータを削除した証拠として認識できるものの提出を求めたが、いずれも返答なし。

  • 2024年6月28日:2ヶ月間が経ち、進捗等の返答がなく、事件解決の見通しが全くなかったが、まずはこれ以上被害者を増やしたくないとの思いから近本よりXで注意喚起。

  • 2024年7月1日:簡易裁判所から訴状が弊社本社宛に届く。情報漏洩させたエンジニアの作業分について支払いをするようにと被害を主張してきた。※ 6/28の夕方に裁判所内郵便局から発送されているので申請時期は6月中旬と推定。

LASSIC から訴訟提起されて

はあ??ですよね。
つまり、顧客に情報漏洩をさせて大変な迷惑をかけておいて、「ご迷惑料として業務委託費用の取り下げや真摯に対応します」と言っておきながら、なぜか真逆の行動である訴訟をしてくる。

LASSICと取引する会社は、こういう目に遭います。
言葉と行動が伴ってない。「解決に向けて尽力します」という言葉は全てただのリップサービスです。

弊社はいまだにうちのコードが完全削除されているかどうか、A氏との交渉状況がどうなっているか全く共有されていません。文字通り音信不通です。2ヶ月も時間があるのであれば、計画の共有・実行などいくらでもできると思いますが、その時間を使わずにむしろ迷惑をかけた顧客に訴訟準備をしていたというのは嫌がらせとしか思えませんよね?まさに「傷口に塩を塗る」行為です。

Xでうちの注意喚起を見て、優しいユーザーが心配してLASSICの従業員と思われる方に質問をぶつけてくれたのですが。。

LASSICの社員の回答では「本件は、警察や弁護士、有識者の指導をもとに迅速に対処し、問題の解決に努めています。」とのことですが、2ヶ月以上全く連絡もらっていません。むしろ弁護士から取り立てや訴状は来ますが。
情報漏洩させてしまった顧客に訴訟するのがどこの問題解決に当たるのかな?

言葉より行動。言行不一致とはまさにこのこと。提案書に書いていた「ご迷惑料として業務委託費用の取り下げや真摯に対応します」というのは嘘だったのですか??LASSICさん。

我々が被った被害と今後の対策

この事件は弊社にとって計り知れないセキュリティリスクを引き起こしました。GW前にもかかわらず、我々のエンジニアチームがすぐに土日祝日稼働してくれたことに感謝。

【株式会社LASSICが起こした情報漏洩】被害拡大防止のための対応のやりとり
弊社内の被害拡大防止のための対応やりとり

セキュリティの懸念もあるので、構成や具体的な対応等は書きたくないですが、個人情報の漏洩や、DBへのアクセスなどはまず防げました。ただ、従事していた業務は多岐にわたるので、アクセスを与えてしまったリポジトリーに関する削除は確認できていないです。機密情報の漏洩は直接的な財務損失に加え、拡大防止の対応費用なども加算されます。

今後の対策
この事件を受けて、ICHIGOでは内部のセキュリティ対策とフリーランス契約のプロセスを見直し、強化しました。この記事を読んでいただいている他の企業の皆さんに対しても、ベンダーとの関係を再度見直し、特に機密情報を扱う際には追加の保護措置を講じることを強く推奨します。

感想・考察

LASSICをタグで例えるなら、顧客に迷惑をかける、音信不通、逆ギレ、隠蔽体質、言動が伴わない、不誠実などが思い浮かびます。

TOPの舐めた態度と隠蔽体質

まず、社長が出てくるのが遅いと思います。脅迫が寄せられたときから出てくるまで1週間も時間がかかるのは明らかに対応が遅いです(しかもこちらが要請したから来ただけで、自ら現場に出て解決する態度は全くなかった)。
実は弊社とLASSICのオフィスは同じ田町エリアで徒歩15分の距離なんです。
いつでも来れたと思いますが、一向に来てくれなかったのはどうしてでしょうか?

株式会社LASSICの若山幸司社長は、直接面談した際も不貞腐れたような態度で、ろくに謝りもしませんでした。

そもそも今回の事件について内容すらあまり把握しておらず一緒に連れてきた関根さんという部下の方に代わりに説明させていました。
関根さんの方が我々に迷惑をかけている意識を持っているように見えて協力的な姿勢でした。

若山社長に「他の顧客も同じような状況に遭ってしまうととんでもなく大きな事件になるので、その前に今回の事件と今後の再発防止策を公開すべきではないか?」と自社リリースを要請したが、「影響が大きいから」と難色を示して提案を断られました。影響が大きいからこそ、発表すべきでは?
発表について拒否したということは隠蔽したという風に取られますよ?

このようなTOPの元で働いている社員は、これからも会社のために貢献したいという気持ちで働けるでしょうか?
自己の利益ばかり追求し、顧客の情報漏洩事件を隠蔽し、「補填します」と言いながらもその後逆に顧客を訴訟するような会社を僕は未だかつて見たことがありません。

常に部下や弁護士を盾にしたり、呼ばれなければ自ら出てこなかったり、自分で説明するよりも誰かに説明させたりする姿勢。
面倒なことは弁護士に任せてとにかく早く終わらせたい、他人に任せきりで事件の詳細も部下の方が知っているなど、この漏洩事件について若山社長は興味がないように見えます。LASSIC社は上場準備中らしく顧客には上場企業も多数いるようなので、弊社のような小物には興味がないのかもしれませんね。

若山社長の顧客に対する舐めた態度の証拠はあえてここで出しません。必要になったら出していきます。

本人確認を怠っていたことについて(コンプラとガバナンス問題)

本人確認もせずに(国籍、年齢、名前、性別、等全てが分からないまま)どうやってNDAに記載のある機密情報トラブルについて保証するつもりだったのだろう?書いてあるだけできっと最初からその気もなかっただろう。自分たちがトラブルを解決するという意志が毛頭にない。

ガバナンスに問題ありすぎでしょ。 まずは正しいモラル(特にTOPの)を持ち、ガバナンス体制を整えてから上場について考えるべきでは?

株式会社LASSICはホームページで「コンプライアンス推進体制」とやらを定めており、

3. お客様・取引先に対して
(2) 守秘義務、不正競争防止法の遵守
お客様などに関する営業秘密の不正取得など、不正な手段を用いて自らの営業上 の利益を図り、お客様などの利益を害する行為を行ってはいけません。
(3) 誠実な態度
お客様から様々な質問、苦情を受ける場面があります。いかなる質問、苦情に対 しても、無責任な対応をしてはいけません。

株式会社LASSICのコンプライアンス行動基準

といった記載がありますが、コンプラを一番守っていないのは若山幸司社長ご本人ではないでしょうか?
上場企業に求められる企業倫理や社会的な規範を守っている会社の行動ではありません。
ちなみに今回の件は上場不適格に当たるかと思い、こちらのリンクからJPXに通報いたしました。

それでもしつこい営業DM

LASSICのしつこいスパム営業はもう有名な話ですが、事件後も事件解決には働かず、バンバン営業DMをやっています。

LASSIC スパム」「remogu スパム」「リモグ しつこい」「LASSIC しつこい」で検索すると数々の被害報告が出てきます。

上記の動画を見渡す限り1分半でずっと営業スパムが続いております。

迷惑行為をしてスパムDMもして、LASSICは「自分らしく」がすぎるでしょ!

🆕 7/19にLASSICが情報漏洩を認めるリリースを出しました。がしかし…

なんと、僕がnoteを上げてから2時間後にLASSICがホームページとTwitterに情報漏洩を認めて対応する、といったようなプレスリリースを出しました!
以下に内容を貼っておきます。

魚拓: https://gyo.tc/1cphZ

【株式会社LASSICの情報漏洩】2024年7月19日15:50分ごろLASSICのホームページに掲載されたプレスリリース
2024年7月19日15:50分ごろLASSICのホームページに掲載された情報漏洩を認める内容のプレスリリース
【株式会社LASSICの情報漏洩】2024年7月19日15:50分ごろLASSICの公式Xアカウントに掲載された情報漏洩を認める内容のプレスリリース
2024年7月19日15:50分ごろLASSICの公式Xアカウントに掲載されたプレスリリース(ホームページと同内容)

僕たちに対しては一切連絡なく、世間に向けてのみ自分達は対応している、と発信する姿勢にはいささか疑問が残りますが、これでやっと一定の対応をしてもらえるかと期待した矢先、発表から1日も経たずリリースが消されていました。

出た、これがLASSICのやり方なんですよ。

LASSIC自身が起こした訴訟に不利になると思ったのか、上場準備の妨げになると思ったのか、何れにしてもまた隠蔽しようとしているのか…と落胆しました。
もしかしたら担当者の方は真摯に対応する姿勢があるのかもしれませんが、若山幸司社長など上の人間からストップがかかったのかもしれないですね。
どちらにせよ残念です。

今後またLASSICから何か動きがあったらこちらのnoteもアップデートしようと思います。

おまけ

弊社の近本社長は 3/15に出産しましたが、産後1ヶ月後の4/18にこの事件が発生しました。物理的な制限がかかる状態で、よくも育休中にこんな対応ができていたなと思います。

まだ回復していない体で、大変な新生児の育児をしながら、会社のビッグプロジェクトもこなし、LASSICからこのような事件を起こされてそのための対応もしないといけなくなり心身ともに非常に大変だったと思います。
本当に尊敬です。

いつも誰か(弁護士、部下)を盾にして対応させる誰かさんと違って、
ICHIGOの社長はかっこいいよ。



本件についてのメディア各社等お問合せはこちらまでお願いします:https://ichigo.com/contact/

いいなと思ったら応援しよう!