丸井今井のネットショップに於ける「脆弱性および情報漏洩の可能性」発見から1週間以上経過しましたが、ようやくIPAからアクションがありました。 ただ、IPAとしては「アプリケーションの脆弱性ではない」との判断だそうで、一応、軽く反論してみました。
IPAからのメール抜粋。
本件の取扱につきまして、ご相談させていただきたい点があります。
届出内容を確認したところ、下記の通り、本枠組みにおける脆弱性では
ないとの判断に至った為、取扱いを終了させて頂こうと考えております
が、如何でしょうか。
取扱いを終了した場合でも、届出情報を参考情報としてウェブサイト
運営者へ通知したいと考えています。
【判断理由】
– —————————————————————-
ユーザ名とパスワードが同一に設定できる状態は、第三者によるパス
ワードの推測が容易であるため、セキュリティ上、好ましい状態では
ないと考えます。
しかし、どのようなパスワードを設定するかはユーザに委ねられる部分
のため、ウェブアプリケーションの脆弱性ではないと判断いたしました。
ウェブアプリケーションの脆弱性ではないものの、利用者が強度の弱い
パスワードを設定できる点はセキュリティ上、好ましい状態ではない為、
届出情報を参考情報として運営者へ通知し、パスワード設定ポリシーの
見直しを促したいと考ております。
– —————————————————————-
という内容だったので、まぁ、判断は尊重するけど「本当にそれでいいんですか?」というニュアンスの反論をしています。 以下、反論メール抜粋。
下記内容に関しましては御判断におまかせしますが、以下の要件で脆弱性と判断し
ご報告させて頂きましたことをお伝え致します。
また、現在もクレジットカード情報を含めた個人情報の漏洩が可能な状態に置かれ
ていることを確認しております。
1.現在は通報により修正されているものの、そもそもユーザ名と同一のパスワードを
設定可能な状態になっているのは、ユーザの判断を誤らせる可能性がある。
その為、アプリケーションの作りとしては非常に脆弱な状態であると考えられる。
2.ユーザに告知がなされていないため、現在もユーザ名とパスワードが同一に設定
されたユーザがおり、情報漏洩の可能性は全く解消されていない。
以上の情報を元に、注意喚起をして頂けるのであれば取扱終了でも構わないと考え
ますが、最終的には2.の項目が解消されない限り、クレジットカード情報を含めた
個人情報が漏洩可能な状態にあるのに相違はなく、大変危険なことであると考えま
す。この点に関して状況把握の必要はIPAとしてはありませんでしょうか?
まぁ、こんな感じの反論をしたので取扱終了は決定でしょうが、IPAの責任ある対応を期待したいところです。 そうでないと、IPAの存在意義って何だ?って話になりますからねぇ。
コメント