RSS 開発、セキュリティ、日記
) Please read my disclaimer.
6:56 AM | Comments[1] | #Security
gooroo |mlg51467AT NOSPAMnifty dot com
Name
EMail
Homepage
Remember Me
Comment (HTML not allowed)
社団法人コンピュータソフトウェア著作権協会 ACCS の運営するサイト http://www.askaccs.ne.jp/で利用している CGI に脆弱性があり、個人情報が漏洩する問題がありました。
関連する記事は次のところにあります。
問題のCGIのあったサイトです。
現時点では、今回の問題がトップページに事情説明されています。
今回の問題の中心人物である Office 氏のホームページです。
現時点では、今回の問題への謝罪がトップページに掲載されています
問題のサイトのホスティングを提供している会社です。
今回の事件についての大手メディアでの報道です。
とりいそぎ、今回の一連のサイトをみての考えをまとめておきたいと思います。
- 緊急時の体制
- あらためて、緊急時の体制の確立/保守/更新の必要性を感じます。
- 被害を最小限に
- 今回、それぞれの組織では被害を最小限にすべく行動していると思われます。
- 法律面
- 個人情報保護/不正アクセス禁止の両方の面で、今後の経緯に注目したいと思います。
- 関係先への案内方法と対策
- この回のような問題発覚時、関係先にあわせて、どのような通知を出すのかは、
インターネットセキュリティ/コンピュータセキュリティという歴史が浅く、日々変化し、法整備も、一般の認知もあまり進んでいない問題では、常に細心の注意で対応する必要があると、あらためて思いますACCSやファーストサーバは、セキュリティ対策/訴訟/法律に強い組織であり、また、Office氏は、セキュリティ啓蒙を真摯におこなってこられた方であると思います。
初期対応、経過対応、法律面、顧客サポート面などの点で参考にする必要があります。
ACCS は直ちにサイトを停止しました。
ファーストサーバは、問題の考えられる CGI をすべて強制的に置き換えたようです。
Office 氏は、関連データの削除を含めた対応をとられたようです。
また、それぞれ関係者に即座に通知をおこなったようです。
現在 Office 氏が問題の中心になっておりますが、ACCSとファーストサーバも問題にされる可能性があります。
それぞれ多数の顧客や関係先をもっていると考えられます。
常に業界動向をふくめて検討しておく必要があると思われます。
昨年のBlasterのときにも問題となりましたが、多くの方々は、インターネットセキュリティ/コンピュータセキュリティについて正しい知識も理解も関心もありません。
また、問題を逆手にとってクレームしたり、組織の信用をおとしめようと考えている方々もいます。
この中で、関係先への謝罪と事情説明、早急な対策を周知徹底できる必要があります。
今回、ACCS は直ちにサイトを停止し、関係者に告知しました。ファーストサーバは、早期に問題のある CGIをすべて置き換えました。このような対応がすぐにおこなえるかどうかは、個人情報や企業情報などの漏洩被害の最小化に必要なことではないかと考えられます。
6:56 AM | Comments[1] | #Security
01/07/2004 11:12 AM
goorooです。コメントありがとうございました。<a href="http://gooroo.tea-nifty.com/blog/2004/01/accs.html#comments">返事</a>をしたのでご覧いただければと存知ます。gooroo |mlg51467AT NOSPAMnifty dot com