昨日、2週間振りにIPAからメールが届きましたが、内容は再度の御相談と言うことでした。 まぁ、御相談というか前回送付したメールの内容確認と、脆弱性には当たらないので追跡調査はしないとの連絡でした。
後者に関してはIPAが定義する脆弱性というのが、今回発見したようなユーザIDとパスワードを同一に設定できるアホアプリを相手にしていないということなので、残念ながら諦めるしかないのですが… 現実問題として考えれば、今回のようなアホアプリが脆弱であることには違いなく、情報漏洩の根源になることを考えると納得はいかないのですが、現在は脆弱性とは認めないと言うことなので仕方のないことでしょう。 ちなみに、今回のようなアホアプリ相手には、ユーザIDとパスワードを同一にしたブルートフォース攻撃で個人情報を抽出することは容易だと考えていますので、広義では脆弱性だと思っています。
前者に関しては、とりあえず
・利用者に対しての注意喚起を行うべきであること。
を運営者(丸井今井)に対して申し入れをして頂ければ、少なくとも企業姿勢だけは明確になるので良いのではないかと判断し、回答しました。 一番重要なのは「個人情報漏洩の可能性が現在も残っている可能性が高いこと」でして、そう言った意味で丸井今井の対策は完全な失敗だと思っています。
何れにしても「運営者に対して申し入れをして取扱終了」との事なので、運営者が何ら対策しなくても問題ないわけです。 今にして思えば、初報はIPAだけにして、丸井今井に通報しない方が良かったのではないかと思っています。 そうすれば、中途半端に修正されることなく、また長期間に渡って利用者に対して告知をしないといった後ろ向きの対応を取られずに済んだのではないかと思っています。 そう言った意味で、完全に対応を誤ったかなぁというのが率直な感想です。
コメント