移行先サイト
[[情報漏洩と対応]]
情報漏洩と対応
パターン
- 情報漏洩後の対応はメールで被害者に通知
- 保証は行わない
- HPでの告知はお知らせ欄のみの表示が増えているが、隠そうとしない真摯な態度を表すためにも大きく表示が望ましい
漏洩のパターン
Webページの脆弱性への不正アクセス
SQLインジェクションなどによりDBの情報などが盗まれる。
最近は他のサービスから漏洩したIDとパスワードでログインを試みる「パスワードリスト攻撃」が増えていますが、
この攻撃を受けたサービスも新聞などでは「〇〇へ不正アクセス」という記載がされる場合が多いようです。
この記載ではサービス側に落ち度があるSQLインジェクションなどと同じようにユーザからは非難を受ける事が予想されます。
(もちろん既知の攻撃であるパスワードリスト攻撃の対策をしていなかったサービスにも非はあります)。
それらの被害を受けないためにも同一IDやIPからの失敗回数に制限をかけておく必要あります。
システムへアクセス可能なPC,サーバからの不正アクセス
システムへアクセスできる内部の人間からの流出
「故意による流出」と「ウィルスなどによる流出」に分けられる。
情報漏洩後の対応
発表方法
| HPでの通知 | 全ての事例 |
| メールでの通知 | 被害者のみ、特定できない場合は全員 |
保証
| 金品の送付 | YahooBB 500円,ベネッセ 500円 |
| 謝罪のみ | 上記以外ほぼ全ての事例 |
HPトップページでの掲載位置
| お知らせ欄にニュースの1つとして |
| ページ全体に大きく表示 |
- 情報漏洩が当たり前になってきたせいか数年前のようにトップページに大きく掲載というのはなくなってきているようです。(WebページがCMSなどを使っている場合にはやむを得ない場合もあるので故意として小さく掲載しているとは限りません。)
- 漏洩をしった被害者がHPを訪れた際に、そのことが小さく表示されているのをみたときの気持ちを考える必要がありそうです。
