【マンスリーレポート 2002/12】規範となるべき事後対応（花王）

　12月10日、Scan編集部の調査により、シャンプーや石鹸等家庭用製品の老舗企業、花王の関連HPでWEB アプリケーションの脆弱性が発見された。花王では当日に対応を完了。その経緯や対応完了後の課題抽出等を、今月の事後対応レポートとしてお送りする。

>>【　経　緯　】〜消費者相談センターから情報システム部門へ

　脆弱性が見つかったのは、花王の化粧品関連サイト「SOFINA」。当時「 http://www.sofina.co.jp/ 」に設置されていた会員用 cgi "Update.asp" は、第三者の入力した任意のHTMLタグおよびスクリプトをそのまま出力するようになっていた。悪意ある者がこの点をついて、ページ偽装やセッションハイジャックなどが可能となる。

　12月10日の11:30、編集部から花王に第一報を入れる。問題の概要と利用者に対するリスク、想定される悪用方法や対処方法等を記し、花王のホームページ上にある問合せフォームから送信した。

　同日の15時、花王から編集部宛てにメールが届き、御礼および問合せフォームから入力できる文字数が限られているためメール後半部分が届いておらず、再度こちら（個人アドレス）へ送付願いたい旨、記載されていた。10分後、編集部からメールを再送信。

　そして同日の18:00、花王から編集部へメールが届く。16:40に該当プログラムの修正が完了したことに関する報告である。では、完了までどういったやりとりがなされたのか、伺ってみよう。

花王コメント：
『最初の第一報を送っていただいた問合せ窓口は、消費者相談センターへ届くようになっています。弊社には複数の窓口がありますが、それぞれ案件によってどの部門へ振り分けるか、といった一定のルールはあらかじめ決まっています。それに基づいて、頂いたメールは情報システム部門へ渡り、その後に広報部門、コンテンツを含む統括的役割を担うメディア部門インターネット推進室等へ、本件が伝わっていきました』

　また問題発生時、部門間の伝達フローは「インターネットに関する案件だから」と軽んじることはなく、流通等で生じるリスクと同等と考え、基本フローに準じた形で構築しているとのことだ。

>>【　今後の対応　】〜不正アクセス有無の確認とセキュリティ監査

　さて、同日に該当個所の修正は完了した。しかし大きな意味で捉えると、事後対応の場合は「何をもって」完了したかは定義づけが難しい。もちろん、サービスを利用するユーザが被害を被らないようにする技術的対処が最優先課題であり、その後、問題の質によっては様々な調査や新規対策が必要とされるだろう。

[ Prisoner DAMLAK ]

※詳細な技術解説は「Scan WEB Security」誌に掲載された。
http://shop.vagabond.co.jp/m-sws01.shtml

（詳しくはScan Incident Reportをご覧ください）
http://shop.vagabond.co.jp/m-sir01.shtml