英オンライングリーティングカード会社のMoonpig(2011年に英PhotoBoxグループが買収)は、自社のモバイルアプリを一時停止した。深刻なセキュリティの欠陥が報告されてから、実に17カ月後のことだ。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 3月4日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
対応までの時間が非常に長かったことから、同社に対するセキュリティ専門家やユーザーの非難が続いている。Twitterでは多くのユーザーが、「@MoonpigUKの扱いは全く受け入れられない。Moonpigのユーザーは気を付けて」などのツイートを添えて意見を表明した。
この騒動は、開発者のポール・プライス氏が2013年8月、MoonpigのAndroidモバイルアプリに深刻なセキュリティの欠陥があり、ハッカーがユーザーの個人情報にアクセスできることを発見したことから始まった。
プライス氏は、すぐにMoonpigに報告した。同氏はその後、2014年9月に、「クリスマスまでに」問題を解決するとの返答を同社から得た。
だが、全く対応は行われなかった。そこでプライス氏はブログでの情報公開に踏み切り、同社にアプリの一時停止と調査の着手を促した。
Moonpigは「顧客の全てのパスワードと決済情報は、これまでも現在も安全であると断言する」と説明した。同社は予防措置として、調査中はモバイルアプリを利用できなくするとしている。また、デスクトップとモバイルのWebサイトには影響がないという。
プライス氏はブログで次のように述べている。「これまでも中途半端なセキュリティ基準を幾つか目にしたことがあるが、これは最悪だ。このシステムのアーキテクトは極刑に値する」
同氏は、少しの操作で他のMoonpigユーザーのID、名前、誕生日、電子メールアドレス、住所、クレジットカード情報の一部などを明らかにできたという。また、同社のAndroidアプリは認証手法が何も使用されておらず、任意のユーザーIDを入力するとそのユーザーに成り済ますことができるとも指摘する。
「攻撃者は他人のアカウントで簡単に、発注、カード情報の追加/取得、保存した住所の閲覧、注文履歴の閲覧などができた」と同氏は語る。
責任ある開示の問題は、米Googleのバグ調査グループがWindows 8.1のゼロデイ脆弱性を一般に公開したことで、最近注目を集めている。米Googleは以下のような方針を取っている。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 2月18日号:実は危ない新しいスマートデバイス
Computer Weekly日本語版 2月4日号:クラウド価格競争の意外な結末
Computer Weekly日本語版 1月21日号:クラウドプロバイダーとの関係が破綻したら?
キッズラインのベビーシッターを起用したプロモーション支援、サイバー・バズが提供
サイバー・バズはキッズラインと共同で、ベビーシッターやママインフルエンサーを起用し...
第69回紅白歌合戦、最高視聴質はDA PUMP「U.S.A.」――TVISION INSIGHTS調べ
平成最後のNHK紅白歌合戦、最も注視されたのは誰のどの場面だったのでしょうか。
研究開発の原点は、未来の理想像を描き、そこから逆算すること――マクロミル 原 申氏
新市場の創造を目指す挑戦者を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
