モバイルアプリケーションに脆弱性が見つかったBrewDog。情報公開に消極的だった同社の対応から、セキュリティの向上について学ぶべき教訓は何か。
サイバーセキュリティコンサルティングのPen Test Partnersは英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱(ぜいじゃく)性を発見した。悪用すれば、攻撃者はBrewDogの顧客らの氏名や生年月日といった情報にアクセスできたという。前編「ビール愛好家が攻撃の的に 『BrewDogモバイルアプリ』脆弱性とは何だったのか」は、この脆弱性はどのようなものだったのかを説明した。後編となる本稿は、脆弱性の発見を受け、BrewDogはどう対処したかを見る。
Pen Test Partnersによると、同社が脆弱性の発見をBrewDogに報告した際、対処ができるBrewDogの担当者を紹介してもらうまでに時間がかかった。その後、BrewDogは脆弱な部分を変更したが、ユーザーには一連の流れについて通知せず、混乱を招いたとPen Test Partnersは言う。
脆弱性発見後のBrewDogの対応について、Pen Test Partnersの調査員は「約1カ月にわたってBrewDogと協力し、こちらから料金を要求せず、6つの異なるバージョンのアプリケーションをテストした」と語る。その際、脆弱性についての情報を公開したがらないBrewDogの姿勢に「問題があると感じた」と調査員は言う。
BrewDogの広報担当者は米TechTargetに対し、「外部のセキュリティ会社から当社のモバイルアプリケーションの1つに脆弱性があることを知らされた。それを受け、当社はそのアプリケーションを直ちに停止して問題を解決した」と説明した。ユーザーに通知しなかった理由については「顧客情報にアクセスされた痕跡がなかったため、知らせる必要はないと判断した」と述べた。
認証技術ベンダーOneLoginでグローバルデータ保護担当を務めるナイアム・マルドゥーン氏によると、BrewDogの件は、アプリケーション開発プロセスにとどまらず、企業のセキュリティポリシーにも問題があったことを示した。「ビジネスリーダーがセキュリティの重要性を十分に理解しないことは、自社のブランドやビジネス活動に悪影響を与える恐れがある」とマルドゥーン氏は指摘する。
世界各国で個人情報保護の法律やルールが強化され、企業は顧客情報を攻撃から守る対策が重要性を増している。マルドゥーン氏は「IT現場だけではなく、経営陣も含めセキュリティの高度な知識を身に付け、トップレベルでセキュリティの向上に取り組まなければならない」と警鐘を鳴らす。具体的には企業は「セキュリティ」と「プライバシー保護」の垣根をなくし、両方を担当するチームを作ることが有効だと同氏は言う。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
トラフィック1300%増、生成AIがEコマースを変える
アドビは、2024年のホリデーシーズンのオンラインショッピングデータを公開した。
「ドメインリスト貸し」は何がマズい? サイトの評判の不正使用について解説
「サイトの評判の不正使用」について理解し、正しい対策が取れるにしましょう。
代理店にもAIにも「丸投げ」はダメ 成果報酬型マーケティングを成功させるポイントは?
「成果報酬型マーケティング」を実現する上でインターネット広告業界が直面する課題とは...
ITmediaはアイティメディア株式会社の登録商標です。
