情報漏洩と対応

パターン

  • 情報漏洩後の対応はメールで被害者に通知
  • 保証は行わない
  • HPでの告知はお知らせ欄のみの表示が増えているが、隠そうとしない真摯な態度を表すためにも大きく表示が望ましい

漏洩のパターン

Webページの脆弱性への不正アクセス

SQLインジェクションなどによりDBの情報などが盗まれる。

最近は他のサービスから漏洩したIDとパスワードでログインを試みる「パスワードリスト攻撃」が増えていますが、 この攻撃を受けたサービスも新聞などでは「〇〇へ不正アクセス」という記載がされる場合が多いようです。 この記載ではサービス側に落ち度があるSQLインジェクションなどと同じようにユーザからは非難を受ける事が予想されます。 (もちろん既知の攻撃であるパスワードリスト攻撃の対策をしていなかったサービスにも非はあります)。 それらの被害を受けないためにも同一IDやIPからの失敗回数に制限をかけておく必要あります。

システムへアクセス可能なPC,サーバからの不正アクセス

システムへアクセスできる内部の人間からの流出

「故意による流出」と「ウィルスなどによる流出」に分けられる。

情報漏洩後の対応

発表方法

HPでの通知全ての事例
メールでの通知被害者のみ、特定できない場合は全員

保証

金品の送付YahooBB 500円,ベネッセ 500円
謝罪のみ上記以外ほぼ全ての事例

HPトップページでの掲載位置

お知らせ欄にニュースの1つとして
ページ全体に大きく表示
  • 情報漏洩が当たり前になってきたせいか数年前のようにトップページに大きく掲載というのはなくなってきているようです。(WebページがCMSなどを使っている場合にはやむを得ない場合もあるので故意として小さく掲載しているとは限りません。)
  • 漏洩をしった被害者がHPを訪れた際に、そのことが小さく表示されているのをみたときの気持ちを考える必要がありそうです。
wapp_pattern/security/leak.txt · 最終更新: 2014/09/28 18:12 (外部編集)
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0