三輪節炸裂！！！個人情報が盗まれたかどうかは、実際にログとか色々を調べる必要がある。てかログの改ざんも調べる必要がある。

このようなハッカーからの声明が発表された場合、「個人情報は公開されなかったため、個人情報の漏洩はありません」という発表につながることがあります。しかし、侵入したのは声明を公開したハッカーだけとは限りません。その話を聞いた他の悪いハッカーが侵入して個人情報を盗み出したかもしれませんし、声明を公開したハッカーも「オプションとして」顧客情報などをコピーしていったかもしれません。例えば、それは後日企業が個人情報漏洩の可能性を否定するような発表を行った場合に、「その企業はウソをついている。顧客情報はこれだ」という声明とともに個人情報を公開するために、後日の「オプション」として盗み出していることもありえます。
従って、不正アクセスを受けた企業では、以下の点について正確に発表する必要がありますし、我々もそれを要求する必要があるのではないかと考えています。
ログは残されていたのか
ログは改ざんされていないのか
個人情報へのアクセスを記録していたログは完全に残されているか
特に、個人情報へのアクセスログですが、実際には取得されていないケースは少なくないのです。なぜなら、侵入されたことを解析するようなことでも無い限りそういうログは必要ない上に、膨大な量になるからです。ログを取得するようにしていたとしても、前述のように管理者権限を奪われたりすると、ログが残らないこともあります。それに備えてWebアプリケーションの前後にあるネットワークやデータベースでログを取れば良いのですが、パフォーマンスや安定性に大きな影響を与えることが考えられ、管理者や開発者に最も敬遠されがちです。

「情報漏洩の形跡が見当たらない」は「情報漏洩がない」ではない | 日経 xTECH（クロステック）