不正アクセス（JINSオンラインショップ）に関する調査結果（最終報告）| JINS - 眼鏡（メガネ・めがね）

平成25年３月15日「不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び」でご報告いたしました当社オンラインショップに対する不正アクセス（以下、「本件不正アクセス」といいます。）により、お客様をはじめとする皆様に多大なるご迷惑およびご心配をおかけしましたことを深くお詫び申し上げます。 当社は、事案発覚直後より、逐次最新情報をご報告させていただいておりましたが、この度、当社、専門調査機関および情報漏えい事故調査委員会による本件不正アクセスに関する一連の調査が終了いたしましたので、下記のとおりご報告させていただきます。 なお、本件不正アクセスに関するお客様へのご対応および再発防止に対する取り組みについては引き続き行ってまいりますが、本件不正アクセスに対する調査結果につきましては、特段の報告事項が発生しない限り、下記をもって最終報告とさせていただきます。 当社は、自社が運営する「J

[khtokage]

まー客視点では、保守の範囲でミドルウェアの更新ぐらいやっとけと思うのは分かるｗ　問題は、重要パーツを入れ替えると大抵修正（＝人件費）が発生し新たなバグも生まれる事だ。

[hisawooo]

システムのことはよくわからないので読み流したが、はてブのページでZoffの広告が右上にでて感心した。

[suginoy]

ベンダが悪いって、JINS PC買った層を敵に回すのか。

[sirobu]

直近の改修時にStrutsのバージョンアップしなかった！ 保守ベンダーの責任！！て読めるんだけど、保守契約でそこまで決めてたのか？

[coolworld]

ベンダが悪いとしか書いてないけど、リリース時のバージョンと保守契約内容がわからないと判断できないと思う。ミドルウェア（フレームワーク）のバージョンアップに対応するには、それなりにコストもかかるし。

[spherera]

ここまでベンダへの責任転嫁する報告書は久々。「保守体制費をケチったことは棚上げにするのですか？」「サービス提供するのはユーザであってベンダではないことを忘れているよね？」と言われても仕方が無い

[pochi-mk]

「善良なる管理者の義務に基づき瑕疵のないシステム構成を設計すべき義務があるところ」もしかして瑕疵のないシステムを一括発注で要求してるの？後から脆弱性が見つかることは想定しないの？ちょっと違和感が...

[tetsutalow]

「ベンダが脆弱性を放置してたから」と言わんばかりだけど、相応の保守費を払ってたのかとかSLAどうなってたのかとか気になる。それに顧客にとっては誰にシステム委託してようが知ったことじゃないよねぇ。

[dbfireball]

「瑕疵のないシステム構成を設計すべき義務があるところ」何か、セキュリティはタダだと思ってるんじゃねーの？感があって嫌だなぁ。セキュリティチェックに毎年お金出してる企業もあるんですがね。

[Futaro99]

うわぁ・・・ベンダのせいにされてる・・・

[Qwerty401]

不正アクセスの件

[itochan]

素人の感想だけど、　発注するJINS、受注する開発者以外に、サイトの運用する技術者がいると思う。運用者の意見は次の改修の発注などに反映されたりしないの？

[gabuchan]

本件不正アクセスの原因は、第三者が当社オンラインショップのシステムに使用されていたミドルウェア（※）「Apache Struts2（以下、「Struts」といいます。）」の脆弱性

[yukkesan]

報告をちゃんとしたことは良いが、責任の所在について「そのりくつはおかしい」と思う、怖い。

[lEDfm4UE]

原因は、ミドルウェア「Apache Struts2」の脆弱性

[mabushii_sign]

脆弱性が見つかっているバージョンのミドルウェアを使い続けるリスクがわかる事案。

[kent013]

こんなん、PHP5.1.3とか使ってるサイトがあったときにどうすればいいのん。見積もりすればいいの？ベンダに責任あるとかいう結論がイヤだ...

[uzulla]

「ほら、コレ見てくださいよ、保守なんていらないって気軽にいいますけど、ミドルウェアのバージョンアップしないとダメなんですよ。え？やってくれ？タダでは無理ですよ、開発のお見積もり差し上げます」

[masakanou]

うひー > 本来、システム開発会社として善良なる管理者の義務に基づき瑕疵のないシステム構成を設計すべき義務があるところ、それを看過してシステム構成の設計を行っていた点で責任があると指摘されております。

[sentas]

ひいぃい(ﾟдﾟ)

[vitaminsii]

"Apache Struts2の脆弱性を利用してシステムに不正に侵入" そういうことだったのか。フレームワークは本当に便利だけど、セキュリティ面に関して注意しておかないと。

[stealthinu]

これ今後のためにとても重要、要注意…　Webサービス開発受託してその後の保守契約どうするかをこの事例を元に考えなおすべき。

[aquarla]

こういう事案を見ると、システム運用の受託なんてやるもんじゃないとつくづく感じる

[matsumoto_r]

Struts2が脆弱性をもった古いバージョンだったのか

[yamadama]

「改修作業」の契約内容がわからんからなんとも言えんけど、善管注意義務を引っ張ってきたか

[EasyGoer]

義務が発生するのは善良かどうかじゃなくて契約によってだよね。状況の報告は詳しくていいと思う。

[snipesnaps]

調査委員会がほぼ弁護士を中心に構成されているのを見た時点で、事故調査とは名ばかりで、最初から契約書の穴を探って責任をベンダーに押しつける気マンマンだったことが伺えるもんなあ。

[heinze]

「善良なる管理者の義務に基づき瑕疵のないシステム構成を設計すべき義務」こわいこわい

[Muke]

これはいくらなんでもベンダかわいそうすぎるだろ…全責任ふっかけてるじゃないっすか…

[anoncom]

「うちも管理監督責任があるけど、開発・運用はベンダーに任せていたし、根本はベンダーのせいだから」

[riywo]

Apache Struts2

[karupanerura]

古いバージョンのミドルウェアを何も対策せずに使い続けるのはこわい事例

[mas-higa]

開発費用ケチったのが原因か、保守費用ケチったのが原因か?

[tanasumi]

JINS不正アクセスの最終報告。あとでゆっくり読もう。

[lll_nat_lll]

善良なる管理者の義務。保守契約結んでたらこんな言葉出てこないよな〜

[soratomo]

こわいこわい。

[rti7743]

保守契約がどうなっているかしらないけど、ベンダーへの費用をケチるなってことだな。

[pitts1997]

ベンダーが調査依頼出してたら別の結果だった気がする。

[bobbyjam99]

情報が少ないので何とも言えないけれど、テストコード書いてたらこういうバージョンアップにも低コストで提案出来たんじゃないかなーと妄想したり。