ビールメーカーBrewDogが「モバイルアプリ脆弱性」の公開に消極的だった理由：ビールメーカーBrewDogは脆弱性にどう対処したのか【後編】

モバイルアプリケーションに脆弱性が見つかったBrewDog。情報公開に消極的だった同社の対応から、セキュリティの向上について学ぶべき教訓は何か。

[Alex Scroxton，TechTarget]

　サイバーセキュリティコンサルティングのPen Test Partnersは英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱（ぜいじゃく）性を発見した。悪用すれば、攻撃者はBrewDogの顧客らの氏名や生年月日といった情報にアクセスできたという。前編「ビール愛好家が攻撃の的に　『BrewDogモバイルアプリ』脆弱性とは何だったのか」は、この脆弱性はどのようなものだったのかを説明した。後編となる本稿は、脆弱性の発見を受け、BrewDogはどう対処したかを見る。

BrewDogが脆弱性を公開しなかった理由　同社の言い分は

　Pen Test Partnersによると、同社が脆弱性の発見をBrewDogに報告した際、対処ができるBrewDogの担当者を紹介してもらうまでに時間がかかった。その後、BrewDogは脆弱な部分を変更したが、ユーザーには一連の流れについて通知せず、混乱を招いたとPen Test Partnersは言う。

　脆弱性発見後のBrewDogの対応について、Pen Test Partnersの調査員は「約1カ月にわたってBrewDogと協力し、こちらから料金を要求せず、6つの異なるバージョンのアプリケーションをテストした」と語る。その際、脆弱性についての情報を公開したがらないBrewDogの姿勢に「問題があると感じた」と調査員は言う。

　BrewDogの広報担当者は米TechTargetに対し、「外部のセキュリティ会社から当社のモバイルアプリケーションの1つに脆弱性があることを知らされた。それを受け、当社はそのアプリケーションを直ちに停止して問題を解決した」と説明した。ユーザーに通知しなかった理由については「顧客情報にアクセスされた痕跡がなかったため、知らせる必要はないと判断した」と述べた。

併せて読みたいお薦め記事

脆弱性の知識を深めるには

• 意外？　「データベースの脆弱性を最も放置している国」が判明
• クラウドサービスの脆弱性に「CVE」がない“なるほどの理由”

　認証技術ベンダーOneLoginでグローバルデータ保護担当を務めるナイアム・マルドゥーン氏によると、BrewDogの件は、アプリケーション開発プロセスにとどまらず、企業のセキュリティポリシーにも問題があったことを示した。「ビジネスリーダーがセキュリティの重要性を十分に理解しないことは、自社のブランドやビジネス活動に悪影響を与える恐れがある」とマルドゥーン氏は指摘する。

　世界各国で個人情報保護の法律やルールが強化され、企業は顧客情報を攻撃から守る対策が重要性を増している。マルドゥーン氏は「IT現場だけではなく、経営陣も含めセキュリティの高度な知識を身に付け、トップレベルでセキュリティの向上に取り組まなければならない」と警鐘を鳴らす。具体的には企業は「セキュリティ」と「プライバシー保護」の垣根をなくし、両方を担当するチームを作ることが有効だと同氏は言う。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。