IPAから御相談が…


丸井今井のネットショップに於ける「脆弱性および情報漏洩の可能性」発見から1週間以上経過しましたが、ようやくIPAからアクションがありました。 ただ、IPAとしては「アプリケーションの脆弱性ではない」との判断だそうで、一応、軽く反論してみました。
IPAからのメール抜粋。

IPAセキュリティセンターです。

本件の取扱につきまして、ご相談させていただきたい点があります。

届出内容を確認したところ、下記の通り、本枠組みにおける脆弱性では
ないとの判断に至った為、取扱いを終了させて頂こうと考えております
が、如何でしょうか。

取扱いを終了した場合でも、届出情報を参考情報としてウェブサイト
運営者へ通知したいと考えています。

【判断理由】
– —————————————————————-
ユーザ名とパスワードが同一に設定できる状態は、第三者によるパス
ワードの推測が容易であるため、セキュリティ上、好ましい状態では
ないと考えます。

しかし、どのようなパスワードを設定するかはユーザに委ねられる部分
のため、ウェブアプリケーションの脆弱性ではないと判断いたしました。

ウェブアプリケーションの脆弱性ではないものの、利用者が強度の弱い
パスワードを設定できる点はセキュリティ上、好ましい状態ではない為、
届出情報を参考情報として運営者へ通知し、パスワード設定ポリシーの
見直しを促したいと考ております。
– —————————————————————-

という内容だったので、まぁ、判断は尊重するけど「本当にそれでいいんですか?」というニュアンスの反論をしています。 以下、反論メール抜粋。

IPAセキュリティセンターご担当様

下記内容に関しましては御判断におまかせしますが、以下の要件で脆弱性と判断し
ご報告させて頂きましたことをお伝え致します。
また、現在もクレジットカード情報を含めた個人情報の漏洩が可能な状態に置かれ
ていることを確認しております。

1.現在は通報により修正されているものの、そもそもユーザ名と同一のパスワードを
 設定可能な状態になっているのは、ユーザの判断を誤らせる可能性がある。
 その為、アプリケーションの作りとしては非常に脆弱な状態であると考えられる。

2.ユーザに告知がなされていないため、現在もユーザ名とパスワードが同一に設定
 されたユーザがおり、情報漏洩の可能性は全く解消されていない。

以上の情報を元に、注意喚起をして頂けるのであれば取扱終了でも構わないと考え
ますが、最終的には2.の項目が解消されない限り、クレジットカード情報を含めた
個人情報が漏洩可能な状態にあるのに相違はなく、大変危険なことであると考えま
す。この点に関して状況把握の必要はIPAとしてはありませんでしょうか?

まぁ、こんな感じの反論をしたので取扱終了は決定でしょうが、IPAの責任ある対応を期待したいところです。 そうでないと、IPAの存在意義って何だ?って話になりますからねぇ。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です