2005年1月25日(火曜日)

個人情報流出のうち、1件は19日に同社のWebに対する脆弱性の情報が寄せられ、調査したところ58,254件の個人情報に対して外部からアクセスされていたことが判明。

脆弱性による漏洩らしいですが、具体的にはどういう脆弱性だったのでしょう。

ポーラ化粧品側には「お客様情報流出のご報告とお詫び (www.pola.co.jp)」なるものが出ていますが、そちらにも脆弱性の内容は書かれておらず、単に「不正アクセス」呼ばわりしているだけのようです。

弊社ホームページでは、今回原因となったセキュリティホールを削除し、それ以外のセキュリティホールは存在しないことを確認いたしております。

「セキュリティホール」に「削除」という動詞が結びつくことに違和感がありますがそれは良いとして、「それ以外のセキュリティホールは存在しないことを確認いたしております」というのはどうなのでしょうね。そもそも、

ポーラ化粧品では、お客さまにご登録いただく個人情報の安全性を考慮し、日本ベリサイン社のＳＳＬ（暗号化通信）を採用しております。また、当ＳＳＬページではブラウザ下部にＳＳＬの鍵マークは表示されませんが、実際のデータは暗号化して送信されますので、ご安心ください。

※強調は引用者による

このような記述をしている時点で不安になりますけれども。

※どうでも良いですが、なんでこの PDF はテキストのコピーを禁止しているのでしょうか。

ウェブアプリケーションの脆弱性関連情報は、届出件数 67 件だそうです。

Q3 と大して変わっていないように見えるかもしれませんが、私の届出件数が

なので、私の届出を除くと 61→34の大幅減。

また、新しい攻撃手法として知られている「HTTP レスポンス分割 (HTTP Response Splitting)」に関する届出が数件ありました。

「数件」っていやに曖昧ですが、具体的な件数が書けない理由でもあるのでしょうか。後半の統計を見ると 140件中の 4% ですので、5～6件といったところだと思いますが、私の届出は 5件。:-)

※しかし「HTTP レスポンス・スプリッティング」は新しいと言えば新しいですが、HTTP応答ヘッダに CR+LF がインジェクションできることの危険性は昔から知られていたように思います。少なくとも、私がココログ大アンケートの脆弱性に気づいたときは「HTTP レスポンス・スプリッティング」という言葉を知りませんでしたし。