【マンスリーレポート 2002/12】規範となるべき事後対応( 花王 ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.18(金)
コンテンツ
注目検索ワード
記事

【マンスリーレポート 2002/12】規範となるべき事後対応( 花王 )

製品・サービス・業界動向 業界動向

 12月10日、Scan編集部の調査により、シャンプーや石鹸等家庭用製品の老舗企業、花王の関連HPでWEB アプリケーションの脆弱性が発見された。花王では当日に対応を完了。その経緯や対応完了後の課題抽出等を、今月の事後対応レポートとしてお送りする。


>>【 経 緯 】〜消費者相談センターから情報システム部門へ

 脆弱性が見つかったのは、花王の化粧品関連サイト「SOFINA」。当時「 http://www.sofina.co.jp/ 」に設置されていた会員用 cgi "Update.asp" は、第三者の入力した任意のHTMLタグおよびスクリプトをそのまま出力するようになっていた。悪意ある者がこの点をついて、ページ偽装やセッションハイジャックなどが可能となる。

 12月10日の11:30、編集部から花王に第一報を入れる。問題の概要と利用者に対するリスク、想定される悪用方法や対処方法等を記し、花王のホームページ上にある問合せフォームから送信した。

 同日の15時、花王から編集部宛てにメールが届き、御礼および問合せフォームから入力できる文字数が限られているためメール後半部分が届いておらず、再度こちら(個人アドレス)へ送付願いたい旨、記載されていた。10分後、編集部からメールを再送信。

 そして同日の18:00、花王から編集部へメールが届く。16:40に該当プログラムの修正が完了したことに関する報告である。では、完了までどういったやりとりがなされたのか、伺ってみよう。

花王コメント:
『最初の第一報を送っていただいた問合せ窓口は、消費者相談センターへ届くようになっています。弊社には複数の窓口がありますが、それぞれ案件によってどの部門へ振り分けるか、といった一定のルールはあらかじめ決まっています。それに基づいて、頂いたメールは情報システム部門へ渡り、その後に広報部門、コンテンツを含む統括的役割を担うメディア部門インターネット推進室等へ、本件が伝わっていきました』

 また問題発生時、部門間の伝達フローは「インターネットに関する案件だから」と軽んじることはなく、流通等で生じるリスクと同等と考え、基本フローに準じた形で構築しているとのことだ。


>>【 今後の対応 】〜不正アクセス有無の確認とセキュリティ監査

 さて、同日に該当個所の修正は完了した。しかし大きな意味で捉えると、事後対応の場合は「何をもって」完了したかは定義づけが難しい。もちろん、サービスを利用するユーザが被害を被らないようにする技術的対処が最優先課題であり、その後、問題の質によっては様々な調査や新規対策が必要とされるだろう。


[ Prisoner DAMLAK ]


※詳細な技術解説は「Scan WEB Security」誌に掲載された。
http://shop.vagabond.co.jp/m-sws01.shtml


(詳しくはScan Incident Reportをご覧ください)
http://shop.vagabond.co.jp/m-sir01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「新・緊急時報告データ入力プログラム」に任意コード実行の脆弱性(JVN) 画像

「新・緊急時報告データ入力プログラム」に任意コード実行の脆弱性(JVN)
Apacheが「Tomcat」の複数の脆弱性を解消するアップデート、適用を呼びかけ(JVN) 画像

Apacheが「Tomcat」の複数の脆弱性を解消するアップデート、適用を呼びかけ(JVN)
TwitterでNintendo Switchの購入希望者を狙った詐欺が横行 画像

TwitterでNintendo Switchの購入希望者を狙った詐欺が横行

インシデント・事故 記事一覧へ

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン) 画像

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)
小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市) 画像

小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)
「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス) 画像

「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

調査・レポート・白書 記事一覧へ

日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10) 画像

日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10)
「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー) 画像

「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー)
IoT機器の遠隔操作を狙う通信が1年で6.4倍に増加--年次レポート(NRIセキュア) 画像

IoT機器の遠隔操作を狙う通信が1年で6.4倍に増加--年次レポート(NRIセキュア)

研修・セミナー・カンファレンス 記事一覧へ

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation) 画像

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation)
コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱 画像

コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱
これまでの 20 年とこれからの 20 年 ~ Black Hat 2017 ジェフ・モス開会挨拶 画像

これまでの 20 年とこれからの 20 年 ~ Black Hat 2017 ジェフ・モス開会挨拶

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

    ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  2. ネットユーザの1/4が影響する可能性、KSKロールオーバーの特設ページ更新(JPNIC)

    ネットユーザの1/4が影響する可能性、KSKロールオーバーの特設ページ更新(JPNIC)

  3. リニューアルされた「JSOC」運用開始前に潜入

    リニューアルされた「JSOC」運用開始前に潜入

  4. 3DS「ドラクエXI」に第三者が違法にデータ改ざんしたヨッチ族を確認(スクウェア・エニックス)

  5. ランサムウェアの暗号化動作を検知し停止させる「RansomFree」日本語版無償提供開始(サイバーリーズン・ジャパン)

  6. SOC運用ノウハウの反映で攻撃プロセスを可視化、検知後の対応を効率化(PFU)

  7. VMwareのモバイル基盤サービスを自社導入ノウハウ加え提供、働き方改革にも(NEC)

  8. サイバー攻撃対策要員養成アカデミーに産業制御系システム対応コースを新設(DNP)

  9. DDoS緩和およびWAFのクラウドサービスに、JSOCが対応するMSSを提供(ラック、アカマイ)

  10. 自分の利用しているサーバの状況を確認する方法 不正中継確認

全カテゴリランキング

Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×