【続報】メッセサンオー顧客情報流出のWEBインベンダーの対応について
先日、メッセサンオーの個人情報流出の記事をお伝えしましたが、WEBインベンターの対応状況や、続報があるので、それについて書こうと思います。
・脆弱なGETを使う方式の通信について。
まず、フォームの送信に GET を使う方式はやめて、次の方式に変えるそうです。
・クッキーを使ったログイン機能。
・指定したIPアドレス(複数指定可能)からのみ管理プログラムにアクセスできる機能。
まず、1点目。
顧客情報を扱う上で、クッキーを使うなら、暗号化が必須なわけですが、敢えて『暗号化したクッキーを使ったログイン方式』と書かないってことは、そういった技術が無いんでしょうか?
はっきり言って、セキュリティリテラシーがあまり高くないベンダーがこうした個人情報を扱うソフトを作成するのは危険すぎると思います。
後、クッキーにすると、そのパソコンに途中のURLがキャッシュされてた場合、第三者に簡単にアクセスされる危険もあります。
暗号化されたワンタイムクッキーを使用してアクセスする方法ならば、セキュアですが。
WEBインベンダーさんが作ったら、暗号化無しで、パスワード自体をクッキーで代替してアクセス方式するだけの方式になりそうな気が濃厚な訳ですが…。
2点目。
IPアドレス自体は、パケットの偽装ができるので、プロバイダがある程度わかっていれば、2~3桁回のブルートフォースアタックであっさり、破ることが可能です。
この機能を過信していなければ良いのですがねW
・今回の対応についての不備
個人情報漏洩があって、メッセサンオーさんの連絡が遅い。対応が悪い!
と言ってる方が多いようですが、それより酷いのが、WEBインベンダーさんの対応です。
一部の報道機関では『ファイルのアクセス制限の設定ミスで、検索エンジンに拾われて流出したものだ。サイト管理がしっかりしていないと同様のことが起きる可能性がある』と、まるでメッセサンオーの管理ミスのように書いていますが、今回のは90%位は いい加減なプログラムの責任だと思います。
どうも、このCGIを利用していた複数のショップさんの話を統合すると、メッセサンオーの個人情報流出があった翌日の4月2日にホームページに告知は出していましたが、他に販売した顧客への連絡をこの日に行ったと言う話は、私が連絡をしたショップの管理者さんの中では一件もありませんでした。
はっきり言って、危機管理に関しての意識が全然ありません。
4月3日になって、修正プログラムの案内をメールでよこしたぐらいです。
少なくとも、4月1日には分かっていたわけですから、その時点で、メッセサンオーさんの流出で、他のお客さんでも同じようなことが起こっていないか、注意喚起を顧客に促すのは当然であり、メッセサンオーへの修正プログラムを優先した対応はいただけません。
パスワードがもれたのはメッセサンオーさんの管理が悪いからと、WEBインベンダーが思ってたからこういう対応になったんじゃないんですか?
今回、他にも管理情報が漏れていたサイトがあったのに、被害が少なかったのは、ある程度、脆弱性を知った上で、パスワードをこまめに変えていたサイトの管理者さんが多かったからに他ならないのです。
メッセサンオーさんへの説明のリテラシー不足でうまく説明できなかったため、こちらの個別連絡も遅れてしまった、と言うところじゃないでしょうか。
対応を見てると、8割くらい、WEBインベンダーさんが損害賠償もっても良いんじゃないかなと思うんですが|・ω・)
WEBインベンダーさんの4月2日の説明文読んでも、謝罪文一言も出てこなくて、メッセサンオーさんが全て悪いように見える誠意の無い文面に、正直 少々腹立ちを覚えます。
関連記事:
メッセサンオーの個人情報流出とWEBインベンダーのカートの脆弱性
関連サイト:
カオスな情報置場 - メッセサンオー個人情報流出事件の損害賠償額を計算したらエラいことになった
メッセサンオーの流出理由など(訂正あり:2010/4/4) - m-birdとFreeBSDの同棲日記
メッセサンオー、PCゲーム通販の顧客情報がネットで流出 -INTERNET Watch(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★
Google ToolbarやGoogle Chromeで秘密のURLが漏れるといった話 - 最速転職研究会
Translate
Comments