2015年03月05日 08時00分 公開
特集/連載

脆弱性を17カ月放置した企業を正すには“晒しあげ”しかないのか?脆弱性情報の公開は是か非か

GoogleによるWindows 8.1の脆弱性情報公開で注目される、情報公開の是非。だが、脆弱性を17カ月も放置した企業を動かすには、この方法しかなかったのかもしれない。

[Warwick Ashford,Computer Weekly]
Computer Weekly

 英オンライングリーティングカード会社のMoonpig(2011年に英PhotoBoxグループが買収)は、自社のモバイルアプリを一時停止した。深刻なセキュリティの欠陥が報告されてから、実に17カ月後のことだ。

Computer Weekly日本語版 3月4日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 3月4日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。


 対応までの時間が非常に長かったことから、同社に対するセキュリティ専門家やユーザーの非難が続いている。Twitterでは多くのユーザーが、「@MoonpigUKの扱いは全く受け入れられない。Moonpigのユーザーは気を付けて」などのツイートを添えて意見を表明した。

 この騒動は、開発者のポール・プライス氏が2013年8月、MoonpigのAndroidモバイルアプリに深刻なセキュリティの欠陥があり、ハッカーがユーザーの個人情報にアクセスできることを発見したことから始まった。

 プライス氏は、すぐにMoonpigに報告した。同氏はその後、2014年9月に、「クリスマスまでに」問題を解決するとの返答を同社から得た。

 だが、全く対応は行われなかった。そこでプライス氏はブログでの情報公開に踏み切り、同社にアプリの一時停止と調査の着手を促した。

 Moonpigは「顧客の全てのパスワードと決済情報は、これまでも現在も安全であると断言する」と説明した。同社は予防措置として、調査中はモバイルアプリを利用できなくするとしている。また、デスクトップとモバイルのWebサイトには影響がないという。

 プライス氏はブログで次のように述べている。「これまでも中途半端なセキュリティ基準を幾つか目にしたことがあるが、これは最悪だ。このシステムのアーキテクトは極刑に値する」

 同氏は、少しの操作で他のMoonpigユーザーのID、名前、誕生日、電子メールアドレス、住所、クレジットカード情報の一部などを明らかにできたという。また、同社のAndroidアプリは認証手法が何も使用されておらず、任意のユーザーIDを入力するとそのユーザーに成り済ますことができるとも指摘する。

 「攻撃者は他人のアカウントで簡単に、発注、カード情報の追加/取得、保存した住所の閲覧、注文履歴の閲覧などができた」と同氏は語る。

責任ある開示

 責任ある開示の問題は、米Googleのバグ調査グループがWindows 8.1のゼロデイ脆弱性を一般に公開したことで、最近注目を集めている。米Googleは以下のような方針を取っている。

ITmedia マーケティング新着記事

news154.jpg

孫消費急減、女性のLINE利用増――ソニー生命「シニアの生活意識調査2020」
毎年恒例の「シニアの生活意識調査」。2020年のシニアの傾向はどうなっているでしょう。

news137.jpg

米大統領選を巡る「アプリ対決」のゆくえ 「Trump 2020」 vs. 「Vote Joe」と「TikTok」 vs. 「Triller」
米国では2020年月の大統領選挙を前に選挙戦がますます活発化しています。関連するアプリ...

news143.jpg

店舗の滞在時間が減少、「20分未満」が約1.5倍に――凸版印刷とONE COMPATHが5万人買い物調査
電子チラシ「Shufoo!」を利用する全国の男女5万人を対象に実施した買い物に関する意識調...