ACCS運営ホームページのセキュリティ問題について(2003/11/11)
社団法人コンピュータソフトウェア著作権協会 ACCS の運営するサイト
http://www.askaccs.ne.jp/で利用している CGI に脆弱性があり、個人情報が漏洩する問題がありました。
関連する記事は次のところにあります。
とりいそぎ、今回の一連のサイトをみての考えをまとめておきたいと思います。
- 緊急時の体制
- あらためて、緊急時の体制の確立/保守/更新の必要性を感じます。
ACCSやファーストサーバは、セキュリティ対策/訴訟/法律に強い組織であり、また、Office氏は、セキュリティ啓蒙を真摯におこなってこられた方であると思います。
初期対応、経過対応、法律面、顧客サポート面などの点で参考にする必要があります。
- 被害を最小限に
- 今回、それぞれの組織では被害を最小限にすべく行動していると思われます。
ACCS は直ちにサイトを停止しました。
ファーストサーバは、問題の考えられる CGI をすべて強制的に置き換えたようです。
Office 氏は、関連データの削除を含めた対応をとられたようです。
また、それぞれ関係者に即座に通知をおこなったようです。
- 法律面
- 個人情報保護/不正アクセス禁止の両方の面で、今後の経緯に注目したいと思います。
現在 Office 氏が問題の中心になっておりますが、ACCSとファーストサーバも問題にされる可能性があります。
それぞれ多数の顧客や関係先をもっていると考えられます。
- 関係先への案内方法と対策
- この回のような問題発覚時、関係先にあわせて、どのような通知を出すのかは、
常に業界動向をふくめて検討しておく必要があると思われます。
昨年のBlasterのときにも問題となりましたが、多くの方々は、インターネットセキュリティ/コンピュータセキュリティについて正しい知識も理解も関心もありません。
また、問題を逆手にとってクレームしたり、組織の信用をおとしめようと考えている方々もいます。
この中で、関係先への謝罪と事情説明、早急な対策を周知徹底できる必要があります。
今回、ACCS は直ちにサイトを停止し、関係者に告知しました。ファーストサーバは、早期に問題のある CGIをすべて置き換えました。このような対応がすぐにおこなえるかどうかは、個人情報や企業情報などの漏洩被害の最小化に必要なことではないかと考えられます。
インターネットセキュリティ/コンピュータセキュリティという歴史が浅く、日々変化し、法整備も、一般の認知もあまり進んでいない問題では、常に細心の注意で対応する必要があると、あらためて思います
