【マンスリーレポート2003/11】インシデント事後対応　ベストはアスクル、ワーストは該当なし

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────

　2003年11月 Prisoner'Choice インシデント事後対応ベスト＆ワースト

　2003年11月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応ベスト＆ワーストをお送りする。

>> ベストは　アスクル

　誰しもが一度は耳にしたことがあるだろう、オフィス用品のデリバリーサービス大手、アスクルが今月のベスト対応である。

　現在アスクルは主幹である法人向けサービスの他に、個人でも利用できる「ポータルアスクル」をビジネス展開している。事務用品はもとより、生活雑貨なども自宅へ届けるシステムで、注文はインターネットで行うことができる。

　その「ポータルアスクル」のサイト内、キーワード検索プログラムにクロスサイトスクリプティングの脆弱性があることが判明した。ページはSSLで通信を暗号化しているものの、該当箇所に適切なサニタイジングが行われていなかったため、クッキーの詐取やページの改ざんなどが外部から可能になっていた。

　2003年11月25日の朝、Scan編集部宛てに読者から、アスクルのサイト上にCSS脆弱性がある旨のメールが届いた。さっそく検証してみたところ脆弱性の可能性が推定できることから、当日の夜に編集部からアスクルへ第一報を入れる。

　11月27日、アスクルでは調査を行い、その後に修正。同日の19時に対処を完了している。同時に編集部には、報告に対する御礼と、修正した旨、および告知を掲載した旨の連絡が届いた。

　報告から対処完了まで、アスクルではどういった部門、フローで業務が遂行されたのか。この件については同社のITサービス部門担当者から以下のコメントを頂いている。

【コメント（アスクル）】───────────────────────
　今回のように、お客様サービス部門にいただきました問題、クレーム等については、お客様サービス部門が指令塔となり、関連部門に対応指示が命じられます。
　今回は、Webサイトのシステム上の情報セキュリティに関わることですので、当社の情報システム部門であるITサービスが対応をいたしました。
　また、これらの情報は、同時に法務・コンプライアンス、広報などの管理部門及びサイトのオーナー部門等に伝えられ、プロジェクト的に必要な判断や問題解決の支援をいたします。
───────────────────────────────────

　また、本件の告知は、「ポータルアスクル」のTOPページ、および「INFORMATION」からリンクが貼られている。告知の内容は、外部の企業（つまり編集部）から指摘があったこと、社内で調査を行いCSSの脆弱性を発見しその対処（完了）をしたこと、同サイトでは決済に要する顧客のクレジットカード番号は保持していないため、ハッカーが盗用やなりすましによる注文を行うことはできないこと、さらに現時点で不正行為が行われた痕跡はないことなどが記されている。ユーザの混乱を招くことのないシンプルな文面でありながら、説明すべき点をしっかり押さえている内容である。

　◇ポータルアスクル
https://portal.askul.co.jp/index2.jsp

[ Prisoner DAMRAK ]

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec