Webサイトの脆弱性を4年前から放置か、メニコン情報漏洩の原因

インターネットで安全な通信を実現するTLS/SSLに、Webサーバーを対応させるソフトウエア「OpenSSL」。2014年4月に見つかったそのOpenSSLの脆弱性「Heartbleed」は当時、多くのWebサービスでクレジットカード情報の漏洩など、深刻な被害を引き起こした。 このとき大きく騒がれたHeartbleedだったが、1年経たずして名前をあまり聞かなくなった。2014年は、TLS/SSLの古いバージョンが持つ脆弱性「POODLE」や、Webサーバーでよく使うLinuxなどのUNIX系OSのプログラム「bash」の脆弱性「Shellshock」など、重大な脆弱性が次々と見つかったからだ。 だが、4年経った2018年になってもHeartbleedの脆弱性を残したまま運用していた可能性の高いWebサーバーが見つかった。メニコン子会社のダブリュ・アイ・システムのWebサーバーだ。メニコン

[daybeforeyesterday]

うーむ

[tetsutalow]

POODLEとHeartbleedとShellshockでは脅威は随分差があるのだけど、SSL Labsの判定だとその差があまり伝わらないし、SSLの設定が安全なことはWebサイトが安全であることを意味しない。要は管理者はちゃんと技術わかっとらんとダメ

[nilab]

「4年経った2018年になってもHeartbleedの脆弱性を残したまま運用していた可能性の高いWebサーバー」「子会社のダブリュ・アイ・システムのWebサーバー」「そのWebサーバーからクレジットカードなどの個人情報が漏洩」

[aTn]

被害が発生してから動く典型的パターン。しかも親会社は子会社の内部統制やってなく、これから再発防止考えますとのこと。この会社の商品大丈夫かとても心配。 #メニコン #情報漏洩