【マンスリーレポート 2002/12】インシデント事後対応 ベストは花王、4D MATRIX ワーストは、エノテカ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

【マンスリーレポート 2002/12】インシデント事後対応 ベストは花王、4D MATRIX ワーストは、エノテカ

製品・サービス・業界動向 業界動向

 2002年12月 Prisoner'Choice インシデント事後対応 ベスト&ワースト

 2002年12月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応 ベスト&ワーストをお送りする。

>> ベストは、花王、4D MATRIX

 昨年師走のベスト対応として編集部がチョイスしたのは2社。両社ともWebアプリケーションの脆弱性関連である。

 12月10日、花王の化粧品関連サイト「SOFINA」上の会員用 cgi に、第三者の入力した任意のHTMLタグおよびスクリプトをそのまま出力する問題点が見つかった。編集部から第一報を11:30に送信。花王ホームページ上の問合せフォームを利用した。

 その後15:00に花王から連絡があり、問合せ入力フォームの文字数制限により全文が届かなかった旨の報告を受ける。そこで再度、担当者のアドレスへ送付。同日の18:00には花王から編集部宛てに、「16:40に修正が完了した」旨、報告が届いた。

 その翌日、花王では各部門担当が集い、本件の報告と今後すべき課題の抽出、決定が行われたとのこと。編集部の取材によると「情報システム部門、メディア部門インターネット推進室、広報センター、法務部門、リスクマネジメント室、消費者相談センター、事業本部(化粧品部門)が参加しました」とのこと。さらにここで、「不正アクセスの有無の確認」「セキュリティ監査の導入」が課題として抽出され、実際に行うことになったという。
 さらに聞いたところ「当該サイトへのアクセスログは過去2年分が保存してあり、これをプログラム、および目視により分析、調査し、最終的には外部の監査機関の協力を仰ぎ、不正アクセスがなかったことが判明しました」とのこと。また、その他のWebアプリについてもチェックを行ったという。

 さまざまな視点から「事後」すべきことを抽出し、実際取り組んだといえるだろう。

 もう一社は4D MATRIX 。同社HPによると、10月上旬から11月中旬にかけて、同社が提供する決済.comパーソナルの一部サービスにクロスサイトスクリプティング脆弱性があることがわかり、11月中旬にセキュリティ強化を行ったとのこと。また、その間に実際の被害や情報の漏洩がなかったことも確認済みという。

 クロスサイトスクリプティング脆弱性が露呈するケースは多いが、企業によってその対応は様々である。まったく対応の素振りすら見せないところもあれば、改善はしたが、調査した結果ユーザへの被害はなかった、として告知をしないところもある。たしかに告知を行う場合はビギナー層に過大な不安を与えないようにするため、構成や文面を練る必要があり、相応の手間を要することになる。

 決済.comパーソナルでは、この点に正面から対峙して、情報公開を同社HP上で行っている。「決済パーソナルのお客様が、特に気にしていただく必要のあるものではありません。しかし、実際にどのようなリスクが存在し得るのか、そして、我々がどういう対策を施しているのか、を知っていただくいい機会でもあります」と序文にあり、その後、報告者への謝辞に始まり概略、原因、対応・対策、分析、セキュリティに関する考察と続く。

 情報公開によって今後他のサイトの参考になれば幸い、という考え方は、弊誌の主旨と根幹を同じくするものといえよう。技術面のみならず、情報公開の在り方についても参考になるはずだ。


<関連記事>
 ◇決済.comパーソナルがサービスのセキュリティを強化(2003.1.6)
https://www.netsecurity.ne.jp/article/1/8063.html

 花王
http://www.kao.co.jp/

 4D MATRIX 決済.comにおけるセキュリティについて (2002-12-27)
http://www.4dmatrix.com/company/security_j.html


[ Prisoner Maga ]

(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  6. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  7. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  8. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  9. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  10. マルウェア侵入の検知を高精度化するAI技術を開発、侵入前後の違いを検知(富士通研究所)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×