「被害を隠すな」サウンドハウス社長が不正アクセス体験語るWindows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
2008-06-19
暑いし眠いしorz http://internet.watch.impress.co.jp/cda/news/2008/06/18/19989.html 行ったセミナーの記事が出てた。 というわけで、昨日のセミナーのまとめっていうか殴り書きw あまり参考にならないだろうけどw ・事件発覚前のサウンドハウス社の売り上げの75%はインターネット経由のものである。 ・売り上げのうちクレジットカードを使用した決済は38%であった。 ・代金引換、銀行振込み、クレジットカード決済はほぼ満遍なく使用されていた。 ・プレスリリース(http://www.soundhouse.co.jp/news/20080418.pdf)を出すにあたり、 社内、LACからの反対があった(プレスリリース後、問い合わせが増えると考えたため) が、事件の詳細を出すことにより社会へのセキュリティに対する認識が向上すると考え、 公
個人情報流出に関する補足のお知らせ|サウンドハウス
個人情報流出に関する補足のお知らせ 2008/06/04 お客様各位 株式会社サウンドハウス 代表取締役社長 中 島 尚 彦 この度は、個人情報の流出という大変深刻な事態を引き起こし、誠に申し訳ございませんでした。改めてお詫びを申し上げます。これを機に、サウンドハウスではセキュリティ対策の在り方を抜本的に見直した上で最先端のシステムを導入し、その構築を完了しました。その結果、今ではお客様が、いつでも安心してご利用いただけるホームページとなっていることを、ここにご報告させて頂きます。また、クレジットカードのご利用につきましては、サービスの再開が遅れているため、ご迷惑をおかけしております。只今クレジットカード会社と最終の調整を致しておりますので、今暫くお待ちくださいますようお願い申しあげます。 プレスリリース補足の主旨 4月18日のプレスリリース発表直後から、大勢のお客様や、企業、各種メディア
I, newbie » サウンドハウスの情報漏洩 その3
まずは、管理体制が甘かったのかという点。結論だけ書くと「落ち度があったと言えるレベルではない」という主張は微妙です。当時の対策としてあげられているのは、 ファイアーウォール ハッカーセーフ 3Dセキュア なんですが、箱とサービスだけなんですね。どのような方針で運用されていたかが見えてこない。鍵をかけても植木の下に鍵を隠しておくようではダメダメだし、対策にしろポリシーにしろ運用による裏付けがないと意味がないわけです。むしろ、対策をしたつもりで「安心感」を得たかったように見えます。それぞれの対策が何をカバーするのか、どんなメリットがあってどんな制限があるのかを理解していたようには思えません。理解不足の原因がどこにあるのは、レポートからは読み取れませんので追求しませんが。もちろん、これ以下の対策(というか無対策)しかしていないところもごまんとありますが、それをもって平均より上だからOKとはなりま
I, newbie » サウンドハウスの情報漏洩 その2
4/7(月) 13:34 三菱UFJニコスよりメールで連絡あり。 「カード会社に連絡してください」という部分を訂正して欲しい、というリクエストあり。どのような文言がよいかと、電話で質問。メールにて以下の文章を受け取り、内容を差し替えリクエストに応じる。本日ご配信しました情報流出に関するご案内の中に「クレジットカードの登録をされたお客様で、上記流出の対象となる場合は、お手数でもクレジットカード裏面に記載のある窓口へ連絡を取っていただき、カード会社の指示に従い、ご対応いただくようお願い致します。」と表記いたしましたが、クレジットカード会社側では、カードの不審な利用をモニタリングする等、不正使用を早期に発見できる体制を整えており、また、万が一、本件に起因してお客様のカード情報が不正に使用され被害が発生した場合には、お客様にご負担をおかけすることのないように対応することと聞いておりますので、お客
サウンドハウスカード情報流出 | 水無月ばけらのえび日記
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ (www.soundhouse.co.jp)」。 PDF に書かれている詳細説明が非常に興味深いですね。なんと、2006年に謎の asp1.asp というファイルが設置されていて、ちくちく利用されていたらしいという。知らないファイルが置かれていても、2年間誰も気づかなかった訳ですね。 ※まあしかし、あんまり詳しくは書けませんが、某大企業グループサイトの cgi-bin の下なんか、テスト用の脆弱な CGI プログラムが放置されていても誰も気づかなかったりしていますしね……。 あと、興味深いと思ったのはこのくだり。 ところが、セキュリティの不備は中々解消されず、セキュリティの基準となるガイドラインさえ、殆ど見かけません。対策が進歩しない理由は明らかです。まず、エンジニアが不足していることです。本来ならば、プロのハッカーを雇用して、彼
I, newbie » サウンドハウスの情報漏洩
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」(詳細 PDF)が出てた。カカクコムに代表されるような「ごめんなさい、これからは気をつけます、詳しくは言えません」というお詫びではなくて、時系列付きの経過報告が半分近くを占めるという異例の(その点で画期的な)報告でした。しかし、文章がテキストとして処理できない。SEOですかね。 前半の時系列はインシデント対応の実例としてとても貴重。やや曖昧な時刻になっているのは、メールなどで正確な記録を確認できなかったからだと推測。それでも時系列を記録できているのは、記録の重要性に気づいていたからだと思う。 3/21(金) 11:50 三菱UFJニコス株式会社(以下三菱UFJニコス)より「サウンドハウス(以下SH)のサーバーがハッキングされている可能性がある」と電話にて連絡あり。 これが第1報。金曜の昼なので、対応は週末をはさむ+もろもろの対応が
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
