ビールメーカーBrewDogが「モバイルアプリ脆弱性」の公開に消極的だった理由:ビールメーカーBrewDogは脆弱性にどう対処したのか【後編】
モバイルアプリケーションに脆弱性が見つかったBrewDog。情報公開に消極的だった同社の対応から、セキュリティの向上について学ぶべき教訓は何か。
サイバーセキュリティコンサルティングのPen Test Partnersは英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱(ぜいじゃく)性を発見した。悪用すれば、攻撃者はBrewDogの顧客らの氏名や生年月日といった情報にアクセスできたという。前編「ビール愛好家が攻撃の的に 『BrewDogモバイルアプリ』脆弱性とは何だったのか」は、この脆弱性はどのようなものだったのかを説明した。後編となる本稿は、脆弱性の発見を受け、BrewDogはどう対処したかを見る。
BrewDogが脆弱性を公開しなかった理由 同社の言い分は
Pen Test Partnersによると、同社が脆弱性の発見をBrewDogに報告した際、対処ができるBrewDogの担当者を紹介してもらうまでに時間がかかった。その後、BrewDogは脆弱な部分を変更したが、ユーザーには一連の流れについて通知せず、混乱を招いたとPen Test Partnersは言う。
脆弱性発見後のBrewDogの対応について、Pen Test Partnersの調査員は「約1カ月にわたってBrewDogと協力し、こちらから料金を要求せず、6つの異なるバージョンのアプリケーションをテストした」と語る。その際、脆弱性についての情報を公開したがらないBrewDogの姿勢に「問題があると感じた」と調査員は言う。
BrewDogの広報担当者は米TechTargetに対し、「外部のセキュリティ会社から当社のモバイルアプリケーションの1つに脆弱性があることを知らされた。それを受け、当社はそのアプリケーションを直ちに停止して問題を解決した」と説明した。ユーザーに通知しなかった理由については「顧客情報にアクセスされた痕跡がなかったため、知らせる必要はないと判断した」と述べた。
認証技術ベンダーOneLoginでグローバルデータ保護担当を務めるナイアム・マルドゥーン氏によると、BrewDogの件は、アプリケーション開発プロセスにとどまらず、企業のセキュリティポリシーにも問題があったことを示した。「ビジネスリーダーがセキュリティの重要性を十分に理解しないことは、自社のブランドやビジネス活動に悪影響を与える恐れがある」とマルドゥーン氏は指摘する。
世界各国で個人情報保護の法律やルールが強化され、企業は顧客情報を攻撃から守る対策が重要性を増している。マルドゥーン氏は「IT現場だけではなく、経営陣も含めセキュリティの高度な知識を身に付け、トップレベルでセキュリティの向上に取り組まなければならない」と警鐘を鳴らす。具体的には企業は「セキュリティ」と「プライバシー保護」の垣根をなくし、両方を担当するチームを作ることが有効だと同氏は言う。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.