【セキュリティ】規範となりうるか?セコムの対応事例[7/25]
1 : ◆PTenchoJ7o @窓際店長見習φ ★:03/07/25 00:15 ID:???
実社会と同時にネット社会においてもセキュリティ企業として知られているセコム株式会社
が運営するWeb、「セコムタウン」において個人情報漏洩の危険性があったことが明らかになった。
このことにより、セコムのネットセキュリティ技術に関してこれまで築いてきた信用は完全
に無に帰したといってもよい。しかし、セコムは単にこの技術的な問題をクリアするだけではなく、
脆弱性報告への対応、顧客への経過報告などにおいて努力し、これまで脆弱性を指摘されてきた
多くの企業とは一線を画すインシデントマネージメントを見せ、汚名を返上した。
この記事では、セコムの信用を凋落させた、セコムタウンにあった個人情報漏洩の問題点の詳細を
報告し、また同時にセコムが信頼を回復すべく行った、インシデント対応のプロセスについて報告する。
[セコムタウンにあった情報漏洩の危険性]
セコム(株)の運営するセコムタウン( http://www.secomtown.com/ )は、セコムの企業宣伝
だけでなく、商品をネット販売しており、Webから登録できる会員制となっている。登録にあたって
は、商品購入できるように、氏名、住所、メールアドレス、電話、Fax、携帯電話、生年月日、性別
などを登録する。
筆者はこの会員システムのセッション管理が不適切で、容易にセッションハイジャック(なりすまし)
が可能であることに気づいた。セコムタウンではCookieによるセッション管理を行っていたが、
このセッション管理用のIDとして登録者のメールアドレスを用いていたのだ。
セッションIDは、ログイン中のユーザがIDとパスワードを再入力しなくとも認証できるよう
に用いる符丁であるため、パスワードと同様他人に知られてはいけない情報であり、当然推測可能
なものは使用できない。ところがセコムタウンで行われていたようにセッションIDとして会員の
メールアドレスが用いられていた場合、メールアドレスは他人から推測可能な情報であり、
推測したメールアドレスを勝手に符丁として用いれば、そのメールアドレスの持ち主かのような
なりすましが可能となってしまう。
(以下略。続きはリンク先を)
http://headlines.yahoo.co.jp/hl?a=20030724-00000011-vgb-sci
が運営するWeb、「セコムタウン」において個人情報漏洩の危険性があったことが明らかになった。
このことにより、セコムのネットセキュリティ技術に関してこれまで築いてきた信用は完全
に無に帰したといってもよい。しかし、セコムは単にこの技術的な問題をクリアするだけではなく、
脆弱性報告への対応、顧客への経過報告などにおいて努力し、これまで脆弱性を指摘されてきた
多くの企業とは一線を画すインシデントマネージメントを見せ、汚名を返上した。
この記事では、セコムの信用を凋落させた、セコムタウンにあった個人情報漏洩の問題点の詳細を
報告し、また同時にセコムが信頼を回復すべく行った、インシデント対応のプロセスについて報告する。
[セコムタウンにあった情報漏洩の危険性]
セコム(株)の運営するセコムタウン( http://www.secomtown.com/ )は、セコムの企業宣伝
だけでなく、商品をネット販売しており、Webから登録できる会員制となっている。登録にあたって
は、商品購入できるように、氏名、住所、メールアドレス、電話、Fax、携帯電話、生年月日、性別
などを登録する。
筆者はこの会員システムのセッション管理が不適切で、容易にセッションハイジャック(なりすまし)
が可能であることに気づいた。セコムタウンではCookieによるセッション管理を行っていたが、
このセッション管理用のIDとして登録者のメールアドレスを用いていたのだ。
セッションIDは、ログイン中のユーザがIDとパスワードを再入力しなくとも認証できるよう
に用いる符丁であるため、パスワードと同様他人に知られてはいけない情報であり、当然推測可能
なものは使用できない。ところがセコムタウンで行われていたようにセッションIDとして会員の
メールアドレスが用いられていた場合、メールアドレスは他人から推測可能な情報であり、
推測したメールアドレスを勝手に符丁として用いれば、そのメールアドレスの持ち主かのような
なりすましが可能となってしまう。
(以下略。続きはリンク先を)
http://headlines.yahoo.co.jp/hl?a=20030724-00000011-vgb-sci
2 :名無しさん@お腹いっぱい。:03/07/25 00:18 ID:d2RFbA/p
2なの?
3 :名無しさん@お腹いっぱい。:03/07/25 00:25 ID:GwizbeMP
セコムってアホなんですか?
こんなの指摘されなくともネットワークセキュリティの知識があれば判りそうなもんだけど
まあ、トラブル後の対応で企業の質って判るもんだし
セコムはマシなほうだと思うけど。
こんなの指摘されなくともネットワークセキュリティの知識があれば判りそうなもんだけど
まあ、トラブル後の対応で企業の質って判るもんだし
セコムはマシなほうだと思うけど。
4 :名無しさん@お腹いっぱい。:03/07/25 00:31 ID:hviQsB+g
ねーねー。よくニュースとかでさー
「警報が鳴り、警備員が駆けつけたが盗られた後だった」
っての良く聞くけどさー。
これって警備会社、役に立ってねーんじゃねーの?
「警報が鳴り、警備員が駆けつけたが盗られた後だった」
っての良く聞くけどさー。
これって警備会社、役に立ってねーんじゃねーの?
5 :名無しさん@お腹いっぱい。:03/07/25 00:32 ID:YURbyn63
2度あることは3度ある
6 :名無しさん@お腹いっぱい。:03/07/25 01:29 ID:GwizbeMP
7 :名無しさん@お腹いっぱい。:03/07/25 02:13 ID:0AQs4dL8
長島しげおさんの家にドロボーがはいって、そのときたまたま
セコムのスイッチ切ってたって話ほんと?
セコムのスイッチ切ってたって話ほんと?
8 :名無しさん@お腹いっぱい。:03/07/25 02:28 ID:waMu394o
はじめての、セコム♪
9 :名無しさん@お腹いっぱい。:03/07/25 05:12 ID:d5Z8DQRX
どうせ外注まかせで、その外注も安易なパッケージの導入とか、場合によっては
フリーウェアを改造してシステム作ってたのだろうな。
フリーウェアを改造してシステム作ってたのだろうな。
10 :名無しさん@お腹いっぱい。:03/07/25 15:47 ID:fjZde05B
救急車が4分で駆けつける世の中に
30分で到着するセコム
未来はあるのか?
30分で到着するセコム
未来はあるのか?
11 :名無しさん@お腹いっぱい。:03/07/27 02:04 ID:DpHNLhwU
早くても30分はちょっとウソだな
早ければ5分。ま、それでも賊は逃げてるけど
「意味がない」といえばどうなんだろう
侵入経路と時間くらいはわかるし。
>>7
ドロボーじゃなくて、暴漢だね
そのときは長嶋さんもお手伝いさんも家にいましたから。
在宅時にスイッチオンにする馬鹿はいません
早ければ5分。ま、それでも賊は逃げてるけど
「意味がない」といえばどうなんだろう
侵入経路と時間くらいはわかるし。
>>7
ドロボーじゃなくて、暴漢だね
そのときは長嶋さんもお手伝いさんも家にいましたから。
在宅時にスイッチオンにする馬鹿はいません
12 :名無しさん@お腹いっぱい。:03/07/27 02:56 ID:tekAjo5J
>警備員は、警察とは異なり、システムからの通報があれば、
>25分以内に現場に駆けつけ、侵入された形跡を見つけた場合は、
>速やかに110番通報をする事が義務づけられています。
>侵入者が、被害宅内にいる場合は、勝手に被害宅に入り、
>侵入者を取り押さえる事は出来ないのです。
>これは、現状維持が義務づけられているからです。
>25分以内に現場に駆けつけ、侵入された形跡を見つけた場合は、
>速やかに110番通報をする事が義務づけられています。
>侵入者が、被害宅内にいる場合は、勝手に被害宅に入り、
>侵入者を取り押さえる事は出来ないのです。
>これは、現状維持が義務づけられているからです。
13 :名無しさん@お腹いっぱい。:03/07/27 06:31 ID:e6eGwksG
セコムシステムって
空き巣には有効だけど
強盗には役に立たないってほんと?
空き巣には有効だけど
強盗には役に立たないってほんと?
14 :名無しさん@お腹いっぱい。:03/07/27 07:13 ID:TzaRnE63
強盗の場合は、ボディーガードでも付けるしかないと思うが。
セキュリティシステムを導入することで被害額を可能な限り減らそうってのが
目的なのだと認識した方がいい。
結局のところ、守るべき資産価値と警備の運用費用を天秤に掛けられる人間に
しか関係のない話。
大抵の家庭・人間は、こんなん使うほどの資産はないやな
セキュリティシステムを導入することで被害額を可能な限り減らそうってのが
目的なのだと認識した方がいい。
結局のところ、守るべき資産価値と警備の運用費用を天秤に掛けられる人間に
しか関係のない話。
大抵の家庭・人間は、こんなん使うほどの資産はないやな
15 :名無しさん@お腹いっぱい。:03/07/27 07:20 ID:AGYr1PXk
>>1
元々、ネットで大きくなった会社じゃないし
あくまで関連事業のひとつとしか考えていない
どうせ、適当な下請け会社なんだろ
>>10
犯人捕まえるのが目的ではない
警備員を置くより安くできるから警備システムなんだろ
どうせ被害に遭ったって「セコム紹介」の保険掛けているから
セコムは儲かる罠
元々、ネットで大きくなった会社じゃないし
あくまで関連事業のひとつとしか考えていない
どうせ、適当な下請け会社なんだろ
>>10
犯人捕まえるのが目的ではない
警備員を置くより安くできるから警備システムなんだろ
どうせ被害に遭ったって「セコム紹介」の保険掛けているから
セコムは儲かる罠
16 :名無しさん@お腹いっぱい。:03/07/27 07:40 ID:N/G/hDJY
進入されても「警備員」とやらがマターリやって来て警察に通報するだけ。
逆に警備システムをつけることで「何か貴重なものがあるはず」という
犯罪を誘発する要因になりうる。セコムなんて(゚听) イラネ
逆に警備システムをつけることで「何か貴重なものがあるはず」という
犯罪を誘発する要因になりうる。セコムなんて(゚听) イラネ
17 :名無しさん@お腹いっぱい。:03/07/27 17:25 ID:fb8878hW
ウチは警備会社のシールだけ貼ってます
あと犬を4匹放ってます
あと犬を4匹放ってます
∧_∧ ∧_∧
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎――――――◎ 山崎渉&ぼるじょあ
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎――――――◎ 山崎渉&ぼるじょあ