パスワードを忘れた? アカウント作成
8687420 story
情報漏洩

JINSオンラインショップへの不正アクセス、Struts 2の脆弱性を突かれたのが原因 22

ストーリー by hylom
脆弱性対処は保守じゃないのか 部門より
あるAnonymous Coward 曰く、

今年3月、メガネのネット販売を行うJINSオンラインショップに不正アクセスがあり、2059件の顧客情報が漏洩する事件があったのだが、5月1日にこれに対する調査報告が公表された(日経ITpro)。

調査報告によると、Apache Struts 2の脆弱性を利用してシステムに侵入されたとのと。JINSオンラインショップでは脆弱性が指摘された古いバージョンのものが使われていたそうだ。システム構築および保守サポートはベンダに委託していたとのこと。契約内容や保守状況にもよるが、ベンダ側の責任が問われそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by SchwarzeKatz (34148) on 2013年05月02日 21時40分 (#2374494)
    いちおう、「当社の責任」って項目で、「ベンダ選定時の調査・分析、システムの保守サポート業務品質の管理義務が充分になされていなかったという不備が認められると指摘されております。」ってうたってるよ。

    ちなみに自分は業態は全然違うけど、委託する側の小さな会社のシステム企画部門にいます。

    で、自分の会社でもWebSiteについては開発・運用・脆弱性診断をそれぞれ別な会社(←ココ重要)に外部委託しています。
    利用するミドルウェアの選定なんかはコンテンツ制作会社のノウハウに依存せざるをえないので、コンテンツ制作会社に任せっきりです。
    しかしウェブのコンテンツ制作会社なんかは、どちらかと言うとデザインよりの集団な事が多いので、彼らに全部任せっきりは結構危ない事が多い。
    だからこそ、それぞれ別々な会社に委託している。

    診断専門の会社には、リリース前は勿論、定期的に脆弱性診断を受けて確認し、
    サーバーの運用会社からも脆弱性の最新情報が日々送られてくるし、
    自分らも使ってるもののバージョンは把握しているので、日々IPAとかの発表はチェックしています。
    で、バージョンアップの必要性を社内で(つーか判断できるのは社内で自分とあともう一人くらいですが・・・)検討して、適宜バージョンアップしてる感じ。

    WebSite上で顧客情報を取り扱ってなくても一応この程度には気を使ってるのに、
    個人情報も取り扱ってるコンテンツで、ぜ~んぶ開発から運用(脆弱性診断はやってるのか?)を
    1社に任せっきりにしておくってのは重大な過失だと思うし、調査委員会の指摘はもっともだと思う。
    • >個人情報も取り扱ってるコンテンツで、ぜ~んぶ開発から運用(脆弱性診断はやってるのか?)を
      >1社に任せっきりにしておくってのは重大な過失だと思うし

      どう考えても過失は言い過ぎ。単なる方針の違い。
      過失というからには、それが原因で事故が発生していなければならないが、そうではない。
      もちろん、ベターだとは思うが、手間暇や、責任のなすりつけ合いを避けるために、丸投げすることもひとつの判断。特に発注者に充分な知識や経験がなければ、その方がスムーズ。

      過失は、脆弱性情報の収集を行っていなかったことか、判断を間違えてバージョンアップしなかったこと。それが誰の責任だったかは契約次第。

      >一応この程度には気を使ってるのに、

      そう、気遣いのレベル。必須なこととはいえない。

      親コメント
  • by Anonymous Coward on 2013年05月02日 19時06分 (#2374417)

    既に調査委員会でベンダの責任、と断言されちゃってるけど
    バージョンアップする、って言ったらさせてくれたのかね?

    #…という考え方がもう定着しちゃって

    • by Anonymous Coward on 2013年05月03日 6時53分 (#2374600)

      アップデートの提案はアップデートするためにやるのではありません。提案が拒絶されたという実績を作る(=客の責任にする)のが目的です。

      親コメント
    • by Anonymous Coward

      全部丸投げするならシステム停止判断も丸投げしてほしいね

      • 運用は別じゃない?
        運用を請け負っていたら、脆弱性が明らかになる度にバージョンアップのお伺いを立てる義務があるんだろうけど。
        あとはソフトウェア保守の契約内容次第だけど、適宜脆弱性情報を通知するくらいの義務はあったかもしれない。

        改修案件の要件にバージョンアップは含まれていなかっただろうし、その要件で合意したんだから瑕疵はない、と考えたいところだけど。

        親コメント
        • by Anonymous Coward

          そんな丸投げありえるわけないだろw
          普通に調整すりゃいいだけなのに、なんで断絶しようとするんだよ。

          # 顧客も元請も上司も敵に見える奴は、さっさと辞めましょう

          • by Anonymous Coward

            「顧客、元請、上司」が韓国中国みたいな振る舞いをしてたとしたら?

    • by Anonymous Coward

      いやいや、脆弱性の報告と(有償でも)バージョンアップの提案はしとかないと。責任は客に押し付けましょうよ。
      どうせ止められないから、なんて思い込みでノーアクションだったならベンダが責められて当然。

  • by Anonymous Coward on 2013年05月02日 22時20分 (#2374507)

    Strutsの代替にしてもSpring MVCは複雑なうえ機能的にどっこいというレベルなわけで、
    実際の所別に商用で使えるレベルで且つStrutsほど実装の容易さが理由で普及するウェブ
    フレームワークはここ数年出現しなかったのが逆に不思議でならない。
    実際Strutsの古典的ウェブで十分ということなのだろうか。決済が絡むと複雑にコンポーネントされているよりは
    簡易な方が良いのかもしれないが。JSFがお亡くなりになったのがやはり問題だったのかしらん?

    # Play!で決済系とか名前からして採用されないだろうしね。偉い人が理解してくれんでしょ。

    • by Anonymous Coward

      >Strutsほど実装の容易さが理由で普及するウェブフレームワークはここ数年出現しなかったのが逆に不思議でならない。

      なんでそれが不思議に思えるか逆に不思議。

      ・Linuxに代わるサーバーOSがここ十年出現しなかったのが不思議。
      ・Windowsに代わるクライアントOSがここ十年出現しなかったのが不思議。
      ・J2EEに代わるサーバー開発言語/環境がここ十年出現しなかったのが不思議。
      そういうことは言わないでしょ?

      >実際Strutsの古典的ウェブで十分ということなのだろうか。

      一度普及し、十分に広まったプラットフォームは、特に理由が無い限りは変わらない方がいい。
      むしろWindowsについては、計画的陳腐化のために無駄に変化してることが批判の対象になってる。
      #機能追加くらいは構わないけど、互換性のない変更はとても困る。
      #WindowsとかIEとかPHPとか。

    • by Anonymous Coward

      StrutsとStrust2はかなり違うよね。

  • by Anonymous Coward on 2013年05月02日 23時21分 (#2374528)

    SCEの情報漏えいもStrutsの可能性があるそうですが、OGNL絡みでしょうかね。

    Strutsは検索すると1年に一回任意のコマンドが実行される脆弱性がでており、ほとんどOGNL絡みのようにみえます。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...