【マンスリーレポート 2002/02】オンライントラストマーク 安全なマークが危険なマークに! | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

【マンスリーレポート 2002/02】オンライントラストマーク 安全なマークが危険なマークに!

製品・サービス・業界動向 業界動向

>>初歩的なミスから生まれた誤配信

 去る2月8日早朝、日本商工会議所 オンラインマーク総合センターが、中身のないメールを、複数のオンライントラストマーク取得ショップに対し、配信するというトラブルが発生した。

 オンラインマーク総合センターでは、ネットショップ管理者宛てにメールによる情報提供サービスを行なっている。
 今回は、ウイルス「Worm.Hybris」に感染したクライアントのPC があり、プログラムが働いて配信アドレス宛てに返送され、オンラインマーク総合センターが、ウイルスを除いた部分を配信してしまったというもの。

 さらに、配信の際に用いていたアドレスに来たメールを、登録者全員に同報する設定となっていたために、受信者からの問い合わせが、さらに登録者全員に配信されるというおまけ付きだ。
 多いところで約30通も届いたとのこと。「ウイルスが配信されたわけではないので、それほど気にはしないが、もしこれがウイルスだったらと思うと――」と関係者は困惑の色を隠せない。

 昨今、メールマーケティングの普及にともない、企業によるメールの誤配信やウイルス付きメールの配信といったメール関連トラブルが増加している。「BCC」によるメールマガジンの配信や「CC 」によるメールマガジン管理、メーリングリストを使用しているためにウイルスが全員に配信されるなど、メールサービスにおける企業側の安易な姿勢が原因となっている。

 メールマガジンの発行は、手軽に誰でも行なうことができるため、安易に運用しがちだが、一歩間違えれば大事故を招きかねない。プロモーションの一環であるメールマガジンが、一転して企業への信頼を失墜させるものになってしまうこともあるのだ。


>>地に落ちたオンライントラストマークの信頼性

 ネットビジネスの健全な育成と消費者保護を目的としたオンラインマークを発行する立場であるオンラインマーク総合センターがこのような事象を起こしたことで、まさに、マークの信頼性は地に落ちたといってもよいだろう。

 ネットショップ関係者は、「オンラインマーク総合センターがネットショップ管理者宛てに無差別に一斉配信されたオンラインマーク宣伝のためのスパムメールが今回の発端ではないか、その点を考えると、今回の事件を起こしたのは初歩的なミスだけではすまされるべきではなく、取り組みそのものの認識が甘いといわざるを得ない」と厳しい反応を見せている。

 一方、「オンライントラストマークのシステム自体が、あまりユーザフレンドリーでなく、しょせん、お役所仕事の延長的側面が強いため、メール配信トラブルが起こるのも仕方がない」と諦める事業主も。

 こうしたトラブルを起こした場合、一番大切なことはその後、正しい情報を速やかに公開し、謝罪、対処するかどうかだ。
 オンラインマーク総合センターの対応について、ある事業者は「対応および連絡が不足している」と、危機管理能力の低さを指摘している。

 事実、「個別事業者を特定してしまう」などとの理由から、1 週間もたたないうちに、オンラインマーク総合センターのホームページ上からトラブル報告の告知、およびお詫びの文面を削除した。
 一般的に、誤配信や個人情報流出など、何らかの不測の事態を引き起こした場合、社会に対する悪影響や企業のダメージを最小限にとどめるため「クライシス・コミュニケーション」が重要とされている。

 一般の民間企業において、自社のブランドイメージを崩すトラブルは企業の命運にかかわってくる。にもかかわらず、安全を謳っているはずのオンラインマーク総合センターが、あっさりとトラブル告知をやめたことは、その“危機管理体制自体が危機的状態”にあるといっても過言ではないだろう。


>>クロスサイトスクリプティングの不安

 さらに、安全性の問題は今回のメール関連トラブルだけにとどまらない。“安全なサイト”を謳っているはずのオンライントラストマークの理念を疑わざるをえない事象がもう一つあるのだ。

 それは、オンライントラストマークに“スクリプト”が使われている点だ。以前より安全性の面で疑問視されているスクリプトを使用し、かつ、特殊なプラグインをユーザに強要している実状がある。そして、いつの間にかスクリプトを強制する表示をなくしている。

 2000年2月にCERT/CCから「クロスサイトスクリプティング」セキュリティ脆弱性について勧告が発せられた。
 日本においても、現在稼動中の多くのショッピングサイト(電子商取引サイト)において、対策が不十分なため、これを攻略する攻撃の可能性が指摘されている。

【執筆:森山牧子】

詳しくは「ダイヤモンド・セキュリティ・レビュー」本誌をご覧ください。
http://shop.vagabond.co.jp/m-dsr01.shtml


▼ウイルスのマンスリーレポートは「Scan Daily Express」に掲載されております。詳しくは下記をご覧ください。
http://shop.vagabond.co.jp/m-sdx01.shtml
▼なお、Scan本誌ではウイルス・インシデント・事後対応のマンスリーレポートすべてをご覧いただけます。
http://shop.vagabond.co.jp/m-ssw01.shtml
今月のタイトル
【被害件数は減少、しかしセキュリティホールを狙うウイルスは増加】
【オンライントラストマーク 安全なマークが危険なマークに!】
【インシデント事後対応 ベストはトレンドマイクロ、大阪讀賣 ワーストはオンラインマーク総合センター】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×