情報漏洩と対応
漏洩のパターン
Webページの脆弱性への不正アクセス
SQLインジェクションなどによりDBの情報などが盗まれる。
最近は他のサービスから漏洩したIDとパスワードでログインを試みる「パスワードリスト攻撃」が増えていますが、
この攻撃を受けたサービスも新聞などでは「〇〇へ不正アクセス」という記載がされる場合が多いようです。
この記載ではサービス側に落ち度があるSQLインジェクションなどと同じようにユーザからは非難を受ける事が予想されます。
(もちろん既知の攻撃であるパスワードリスト攻撃の対策をしていなかったサービスにも非はあります)。
それらの被害を受けないためにも同一IDやIPからの失敗回数に制限をかけておく必要あります。
システムへアクセス可能なPC,サーバからの不正アクセス
システムへアクセスできる内部の人間からの流出
「故意による流出」と「ウィルスなどによる流出」に分けられる。
情報漏洩後の対応
発表方法
HPでの通知 | 全ての事例 |
メールでの通知 | 被害者のみ、特定できない場合は全員 |
保証
金品の送付 | YahooBB 500円,ベネッセ 500円 |
謝罪のみ | 上記以外ほぼ全ての事例 |
HPトップページでの掲載位置
お知らせ欄にニュースの1つとして |
ページ全体に大きく表示 |