GoogleによるWindows 8.1の脆弱性情報公開で注目される、情報公開の是非。だが、脆弱性を17カ月も放置した企業を動かすには、この方法しかなかったのかもしれない。
英オンライングリーティングカード会社のMoonpig(2011年に英PhotoBoxグループが買収)は、自社のモバイルアプリを一時停止した。深刻なセキュリティの欠陥が報告されてから、実に17カ月後のことだ。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 3月4日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
対応までの時間が非常に長かったことから、同社に対するセキュリティ専門家やユーザーの非難が続いている。Twitterでは多くのユーザーが、「@MoonpigUKの扱いは全く受け入れられない。Moonpigのユーザーは気を付けて」などのツイートを添えて意見を表明した。
この騒動は、開発者のポール・プライス氏が2013年8月、MoonpigのAndroidモバイルアプリに深刻なセキュリティの欠陥があり、ハッカーがユーザーの個人情報にアクセスできることを発見したことから始まった。
プライス氏は、すぐにMoonpigに報告した。同氏はその後、2014年9月に、「クリスマスまでに」問題を解決するとの返答を同社から得た。
だが、全く対応は行われなかった。そこでプライス氏はブログでの情報公開に踏み切り、同社にアプリの一時停止と調査の着手を促した。
Moonpigは「顧客の全てのパスワードと決済情報は、これまでも現在も安全であると断言する」と説明した。同社は予防措置として、調査中はモバイルアプリを利用できなくするとしている。また、デスクトップとモバイルのWebサイトには影響がないという。
プライス氏はブログで次のように述べている。「これまでも中途半端なセキュリティ基準を幾つか目にしたことがあるが、これは最悪だ。このシステムのアーキテクトは極刑に値する」
同氏は、少しの操作で他のMoonpigユーザーのID、名前、誕生日、電子メールアドレス、住所、クレジットカード情報の一部などを明らかにできたという。また、同社のAndroidアプリは認証手法が何も使用されておらず、任意のユーザーIDを入力するとそのユーザーに成り済ますことができるとも指摘する。
「攻撃者は他人のアカウントで簡単に、発注、カード情報の追加/取得、保存した住所の閲覧、注文履歴の閲覧などができた」と同氏は語る。
責任ある開示の問題は、米Googleのバグ調査グループがWindows 8.1のゼロデイ脆弱性を一般に公開したことで、最近注目を集めている。米Googleは以下のような方針を取っている。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 2月18日号:実は危ない新しいスマートデバイス
Computer Weekly日本語版 2月4日号:クラウド価格競争の意外な結末
Computer Weekly日本語版 1月21日号:クラウドプロバイダーとの関係が破綻したら?
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
ブランドリスクの要因は「トランプ大統領」 どうするCMO――2025年のマーケティング予測10選【後編】
2025年はCMOの役割と課題が大きく変化すると予想される。具体的には何が起こるのか。「Ma...
AIはGoogleの地位を揺るがしているのか? Domoが年次レポートを公開
Domoの年次レポート「Data Never Sleeps」は、インターネット上で1分間ごとに起きている...
3500ブランドの市場・生活者データでマーケターのアイデア発想を支援 マクロミル「Coreka」でできること
マクロミルが創業25年で培ったリサーチや分析ノウハウを結集し、アイディエーションプラ...