GoogleによるWindows 8.1の脆弱性情報公開で注目される、情報公開の是非。だが、脆弱性を17カ月も放置した企業を動かすには、この方法しかなかったのかもしれない。
英オンライングリーティングカード会社のMoonpig(2011年に英PhotoBoxグループが買収)は、自社のモバイルアプリを一時停止した。深刻なセキュリティの欠陥が報告されてから、実に17カ月後のことだ。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 3月4日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
対応までの時間が非常に長かったことから、同社に対するセキュリティ専門家やユーザーの非難が続いている。Twitterでは多くのユーザーが、「@MoonpigUKの扱いは全く受け入れられない。Moonpigのユーザーは気を付けて」などのツイートを添えて意見を表明した。
この騒動は、開発者のポール・プライス氏が2013年8月、MoonpigのAndroidモバイルアプリに深刻なセキュリティの欠陥があり、ハッカーがユーザーの個人情報にアクセスできることを発見したことから始まった。
プライス氏は、すぐにMoonpigに報告した。同氏はその後、2014年9月に、「クリスマスまでに」問題を解決するとの返答を同社から得た。
だが、全く対応は行われなかった。そこでプライス氏はブログでの情報公開に踏み切り、同社にアプリの一時停止と調査の着手を促した。
Moonpigは「顧客の全てのパスワードと決済情報は、これまでも現在も安全であると断言する」と説明した。同社は予防措置として、調査中はモバイルアプリを利用できなくするとしている。また、デスクトップとモバイルのWebサイトには影響がないという。
プライス氏はブログで次のように述べている。「これまでも中途半端なセキュリティ基準を幾つか目にしたことがあるが、これは最悪だ。このシステムのアーキテクトは極刑に値する」
同氏は、少しの操作で他のMoonpigユーザーのID、名前、誕生日、電子メールアドレス、住所、クレジットカード情報の一部などを明らかにできたという。また、同社のAndroidアプリは認証手法が何も使用されておらず、任意のユーザーIDを入力するとそのユーザーに成り済ますことができるとも指摘する。
「攻撃者は他人のアカウントで簡単に、発注、カード情報の追加/取得、保存した住所の閲覧、注文履歴の閲覧などができた」と同氏は語る。
責任ある開示の問題は、米Googleのバグ調査グループがWindows 8.1のゼロデイ脆弱性を一般に公開したことで、最近注目を集めている。米Googleは以下のような方針を取っている。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 2月18日号:実は危ない新しいスマートデバイス
Computer Weekly日本語版 2月4日号:クラウド価格競争の意外な結末
Computer Weekly日本語版 1月21日号:クラウドプロバイダーとの関係が破綻したら?
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
