ビールメーカーBrewDogが「モバイルアプリ脆弱性」の公開に消極的だった理由ビールメーカーBrewDogは脆弱性にどう対処したのか【後編】

モバイルアプリケーションに脆弱性が見つかったBrewDog。情報公開に消極的だった同社の対応から、セキュリティの向上について学ぶべき教訓は何か。

2022年01月07日 08時15分 公開
[Alex ScroxtonTechTarget]

 サイバーセキュリティコンサルティングのPen Test Partnersは英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱(ぜいじゃく)性を発見した。悪用すれば、攻撃者はBrewDogの顧客らの氏名や生年月日といった情報にアクセスできたという。前編「ビール愛好家が攻撃の的に 『BrewDogモバイルアプリ』脆弱性とは何だったのか」は、この脆弱性はどのようなものだったのかを説明した。後編となる本稿は、脆弱性の発見を受け、BrewDogはどう対処したかを見る。

BrewDogが脆弱性を公開しなかった理由 同社の言い分は

 Pen Test Partnersによると、同社が脆弱性の発見をBrewDogに報告した際、対処ができるBrewDogの担当者を紹介してもらうまでに時間がかかった。その後、BrewDogは脆弱な部分を変更したが、ユーザーには一連の流れについて通知せず、混乱を招いたとPen Test Partnersは言う。

 脆弱性発見後のBrewDogの対応について、Pen Test Partnersの調査員は「約1カ月にわたってBrewDogと協力し、こちらから料金を要求せず、6つの異なるバージョンのアプリケーションをテストした」と語る。その際、脆弱性についての情報を公開したがらないBrewDogの姿勢に「問題があると感じた」と調査員は言う。

 BrewDogの広報担当者は米TechTargetに対し、「外部のセキュリティ会社から当社のモバイルアプリケーションの1つに脆弱性があることを知らされた。それを受け、当社はそのアプリケーションを直ちに停止して問題を解決した」と説明した。ユーザーに通知しなかった理由については「顧客情報にアクセスされた痕跡がなかったため、知らせる必要はないと判断した」と述べた。

 認証技術ベンダーOneLoginでグローバルデータ保護担当を務めるナイアム・マルドゥーン氏によると、BrewDogの件は、アプリケーション開発プロセスにとどまらず、企業のセキュリティポリシーにも問題があったことを示した。「ビジネスリーダーがセキュリティの重要性を十分に理解しないことは、自社のブランドやビジネス活動に悪影響を与える恐れがある」とマルドゥーン氏は指摘する。

 世界各国で個人情報保護の法律やルールが強化され、企業は顧客情報を攻撃から守る対策が重要性を増している。マルドゥーン氏は「IT現場だけではなく、経営陣も含めセキュリティの高度な知識を身に付け、トップレベルでセキュリティの向上に取り組まなければならない」と警鐘を鳴らす。具体的には企業は「セキュリティ」と「プライバシー保護」の垣根をなくし、両方を担当するチームを作ることが有効だと同氏は言う。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news108.png

LINEで求職者に合った採用情報を配信 No Companyが「チャットボット for 採用マーケティング」を提供開始
就活生が身近に利用しているLINEを通して手軽に自社の採用情報を受け取れる環境を作れる。

news102.jpg

GoogleがIABのプライバシーサンドボックス批判に猛反論 完全論破へ42ページのレポートを公開
Googleは、米インタラクティブ広告協会から寄せられた批判について「多くの誤解と不正確...

news060.jpg

広報担当者の悩みあるある「取材を受けたのに思ったような記事にならないのは何故?」
自社や自社の製品・サービスについて広く知ってもらうためにメディアの取材を増やすこと...