Re:要するに (#1333203) | サウンドハウス、情報流出について詳細な経緯を公開

「サウンドハウス、情報流出について詳細な経緯を公開」記事へのコメント

記事ページを表示すべてのコメント取得

検索133コメント Log In/Create an Account

要するに (スコア:3, 興味深い)

by Anonymous Coward

長いので要点を抽出してみました。たぶん社長はここを一番言いたいんじゃないかなと。
お客様からは、「サウンドハウスの個人情報管理が甘かったのではないか」という管理責任を問う声を頂きました。（略）それに対して弊社の率直な答えは、通常、企業が取るべき対策は取っており、完璧ではないが、落ち度があったと言われるレベルでもない、ということです。（略）
弊社のWEBサイトは全て自社開発をしており、セキュリティ面に関しましては、24時間体制のシステム管理者が、外部のアドバイス、指導を受けて構築してきております。そのシステムのセキュリテ
- Re: (スコア:5, 参考になる)
  
  by Anonymous Coward
  
  >2008年の時点でSQLインジェクションを知らなかった
  
  全く知らないのでなく、セキュリティには金を払っているのだから、
  これで防げるのではないかと思っていたという事でしょ。
  技術の専門家で無かった自分は「ハッカーセーフ」とやらの謳い文句が、
  十分投資に見合った体制だと思っていたと20ページ目に書いている。
  技術の専門家だったら責めるのも解るけど、エンドユーザーの態度としては、
  こんなもんじゃないかなあとも思うんだけど。
  
  >知らなかったのは行政のせいだなんて
  
  この会社、この社長の発言全てを弁護するわけじゃないがOffice氏の事件以降、
  善意の第三者が危険な状態になっている事を
  - Re: (スコア:2, 参考になる)
    
    by Anonymous Coward
    
    一か所だけ反応します。
    
    >Office氏の事件以降、善意の第三者が危険な状態になっている事をお知らせというのは激減している。
    
    そのOffice事件を受けてIPAやJPCERTなどの取り組みが制度的に整備されました。
    そののち、それまで問題点を発見しても誤解されることを恐れて通報を躊躇していた善意の第三者の皆さんは、多少の不安も感じながらそれらの取り組みに加わっています。
    したがって、善意の第三者が直接「問題のある組織団体」や「ネット上」へ危険な状態になっている事をお知らせというのは激減していますが、それは当たり前のことで、むしろ通報する側される側とも余計なリス
    - Re: (スコア:2, 興味深い)
      
      by Anonymous Coward
      
      >そのOffice事件を受けてIPAやJPCERTなどの取り組みが制度的に整備されました。
      (略)
      >その教訓はきちんと生かされているのではないでしょうか。
      
      レスありがとうございます。
      この部分、自分でも最後まで触れずにいようかと思いましたが、やはり触れることにしました。
      このようなツッコミが入る程度には、IPAの活動は周知されているのか、普通にOffice事件から
      進展がないと受け止めている人が多いのか解らなかったからです。
      
      あれ以降、確かに軽微なものはリスクを負う事無く報告されるようになりました。
      そして問題が起きた後のインシデントレスポンスの体制は整ったかもしれません。
      しかし、
      - Re: (スコア:1, すばらしい洞察)
        
        by Anonymous Coward
        
        例えばSQLインジェクションでは、会員の情報を抜いて見せて報告をすればいいのですが、一度そういう報告をすると「これ…訴えられるかもしれないよ」とお叱りを頂きます。
        
        当たり前だ。それは違法行為だ。
        君の言っていることは、窃盗の危険を示すために実際に窃盗して見せるという行為で、到底社会が許す行為ではない。これは日本だけじゃなくて、欧米諸国でも同じ。侵入してもおとがめなしなのは中国くらいなもんだ。
        
        Re:要するに (スコア:1, 参考になる)
        
        by Anonymous Coward on 2008年04月19日 21時14分 (#1333203)
        
        ですね。
        ただIPAに期待したいのは脆弱性がある可能性があるという報告をするだけでなく、
        それがどの程度危険なのか、回避策も含めた業者紹介も含めた総合的なアナウンスというか説得作業等で相手を意識改革をさせる事でしょうか。
        
        ぶっちゃけ現状のIPA、一度届けるとIPA越しになるのでレイテンシが長くなる上に、こちらのメールを直接送付じゃないのか話がねじれて非常に「邪魔」です。
        
        無謀な人、社会的に失う物が少ないと思える人は訴訟リスクを取るかもですね。
        だって実例の方が説得力は圧倒的に増しますからね。
        
        # エラー画面から、攻略手順を1から10まで書いて仮想通貨の搾取が可能ですよとメールした事があるのでAC
        # 結局向こうはSQLどころかデータベースすらちゃんと解ってなかった・・・コピペ・サンプル・解説本の罪なんですかね。
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

サウンドハウス、情報流出について詳細な経緯を公開 More ログイン

「サウンドハウス、情報流出について詳細な経緯を公開」記事へのコメント

要するに (スコア:3, 興味深い)

Re: (スコア:5, 参考になる)

Re: (スコア:2, 参考になる)

Re: (スコア:2, 興味深い)

Re: (スコア:1, すばらしい洞察)

Re:要するに (スコア:1, 参考になる)

スラド