GoogleによるWindows 8.1の脆弱性情報公開で注目される、情報公開の是非。だが、脆弱性を17カ月も放置した企業を動かすには、この方法しかなかったのかもしれない。
英オンライングリーティングカード会社のMoonpig(2011年に英PhotoBoxグループが買収)は、自社のモバイルアプリを一時停止した。深刻なセキュリティの欠陥が報告されてから、実に17カ月後のことだ。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 3月4日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
対応までの時間が非常に長かったことから、同社に対するセキュリティ専門家やユーザーの非難が続いている。Twitterでは多くのユーザーが、「@MoonpigUKの扱いは全く受け入れられない。Moonpigのユーザーは気を付けて」などのツイートを添えて意見を表明した。
この騒動は、開発者のポール・プライス氏が2013年8月、MoonpigのAndroidモバイルアプリに深刻なセキュリティの欠陥があり、ハッカーがユーザーの個人情報にアクセスできることを発見したことから始まった。
プライス氏は、すぐにMoonpigに報告した。同氏はその後、2014年9月に、「クリスマスまでに」問題を解決するとの返答を同社から得た。
だが、全く対応は行われなかった。そこでプライス氏はブログでの情報公開に踏み切り、同社にアプリの一時停止と調査の着手を促した。
Moonpigは「顧客の全てのパスワードと決済情報は、これまでも現在も安全であると断言する」と説明した。同社は予防措置として、調査中はモバイルアプリを利用できなくするとしている。また、デスクトップとモバイルのWebサイトには影響がないという。
プライス氏はブログで次のように述べている。「これまでも中途半端なセキュリティ基準を幾つか目にしたことがあるが、これは最悪だ。このシステムのアーキテクトは極刑に値する」
同氏は、少しの操作で他のMoonpigユーザーのID、名前、誕生日、電子メールアドレス、住所、クレジットカード情報の一部などを明らかにできたという。また、同社のAndroidアプリは認証手法が何も使用されておらず、任意のユーザーIDを入力するとそのユーザーに成り済ますことができるとも指摘する。
「攻撃者は他人のアカウントで簡単に、発注、カード情報の追加/取得、保存した住所の閲覧、注文履歴の閲覧などができた」と同氏は語る。
責任ある開示の問題は、米Googleのバグ調査グループがWindows 8.1のゼロデイ脆弱性を一般に公開したことで、最近注目を集めている。米Googleは以下のような方針を取っている。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 2月18日号:実は危ない新しいスマートデバイス
Computer Weekly日本語版 2月4日号:クラウド価格競争の意外な結末
Computer Weekly日本語版 1月21日号:クラウドプロバイダーとの関係が破綻したら?
Copyright © ITmedia, Inc. All Rights Reserved.
半田病院への攻撃をはじめとし、医療業界は依然マルウェア攻撃やDDoS攻撃といったサイバー脅威に頻繁にさらされている。IoTやデジタル治療も普及する中、患者の健康情報を犯罪者から守り、多様な規制にも対応するにはどうすればよいのか。
教育機関を狙うサイバー攻撃が増加傾向にある。教育活動の安全を守るためには、セキュリティ強化が不可欠だが、多くの教育機関でインシデントに対処できる人材が不足している。本資料では、この問題を解決した大手前学園の事例を紹介する。
医療機関へのサイバー攻撃が激化する中、医療情報システムを扱うSIベンダーであるテクトロンは、顧客への責任を果たすため、さらなるセキュリティ強化に取り組んでいる。そんな同社が負担なく短期間でセキュリティを向上させた方法とは?
担当する図書館が全国で約100拠点にまで成長する一方、ネットワーク環境のばらつきによりサイバーセキュリティ対策が課題だったヴィアックス。同社は、24時間365日体制で高精度なセキュリティを確保するために、あるXDR製品を導入する。
世界10カ国・2800人以上を対象に実施した「クラウドネイティブセキュリティ調査」(2024年度)が公開された。この結果から、組織が取り組むべきセキュリティ施策を考察する。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
