2022年01月07日 08時15分 公開
特集/連載

ビールメーカーBrewDogが「モバイルアプリ脆弱性」の公開に消極的だった理由ビールメーカーBrewDogは脆弱性にどう対処したのか【後編】

モバイルアプリケーションに脆弱性が見つかったBrewDog。情報公開に消極的だった同社の対応から、セキュリティの向上について学ぶべき教訓は何か。

[Alex Scroxton,TechTarget]

 サイバーセキュリティコンサルティングのPen Test Partnersは英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱(ぜいじゃく)性を発見した。悪用すれば、攻撃者はBrewDogの顧客らの氏名や生年月日といった情報にアクセスできたという。前編「ビール愛好家が攻撃の的に 『BrewDogモバイルアプリ』脆弱性とは何だったのか」は、この脆弱性はどのようなものだったのかを説明した。後編となる本稿は、脆弱性の発見を受け、BrewDogはどう対処したかを見る。

BrewDogが脆弱性を公開しなかった理由 同社の言い分は

 Pen Test Partnersによると、同社が脆弱性の発見をBrewDogに報告した際、対処ができるBrewDogの担当者を紹介してもらうまでに時間がかかった。その後、BrewDogは脆弱な部分を変更したが、ユーザーには一連の流れについて通知せず、混乱を招いたとPen Test Partnersは言う。

 脆弱性発見後のBrewDogの対応について、Pen Test Partnersの調査員は「約1カ月にわたってBrewDogと協力し、こちらから料金を要求せず、6つの異なるバージョンのアプリケーションをテストした」と語る。その際、脆弱性についての情報を公開したがらないBrewDogの姿勢に「問題があると感じた」と調査員は言う。

 BrewDogの広報担当者は米TechTargetに対し、「外部のセキュリティ会社から当社のモバイルアプリケーションの1つに脆弱性があることを知らされた。それを受け、当社はそのアプリケーションを直ちに停止して問題を解決した」と説明した。ユーザーに通知しなかった理由については「顧客情報にアクセスされた痕跡がなかったため、知らせる必要はないと判断した」と述べた。

 認証技術ベンダーOneLoginでグローバルデータ保護担当を務めるナイアム・マルドゥーン氏によると、BrewDogの件は、アプリケーション開発プロセスにとどまらず、企業のセキュリティポリシーにも問題があったことを示した。「ビジネスリーダーがセキュリティの重要性を十分に理解しないことは、自社のブランドやビジネス活動に悪影響を与える恐れがある」とマルドゥーン氏は指摘する。

 世界各国で個人情報保護の法律やルールが強化され、企業は顧客情報を攻撃から守る対策が重要性を増している。マルドゥーン氏は「IT現場だけではなく、経営陣も含めセキュリティの高度な知識を身に付け、トップレベルでセキュリティの向上に取り組まなければならない」と警鐘を鳴らす。具体的には企業は「セキュリティ」と「プライバシー保護」の垣根をなくし、両方を担当するチームを作ることが有効だと同氏は言う。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news045.jpg

マーケティングDXをけん引するリーダーの役割
デジタルツールとデータを活用することで優れた顧客体験を提供するマーケティングDXの推...

news038.jpg

コロナ禍で変化した採用トレンドとこれからの採用メディア戦略
デジタルシフトで新卒採用の在り方が変化しています。企業と接触するタイミングが早まり...

news013.jpg

「マーケティングオートメーション」 国内売れ筋TOP10(2022年7月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。