2003年12月15日(月) 19時04分

【マンスリーレポート2003/11】インシデント事後対応　ベストはアスクル（Scan）

　2003年11月 Prisoner'Choice インシデント事後対応 ベスト＆ワースト

　2003年11月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応 ベスト＆ワーストをお送りする。

>> ベストは　アスクル

　誰しもが一度は耳にしたことがあるだろう、オフィス用品のデリバリーサービス大手、アスクルが今月のベスト対応である。

　現在アスクルは主幹である法人向けサービスの他に、個人でも利用できる「ポータルアスクル」をビジネス展開している。事務用品はもとより、生活雑貨なども自宅へ届けるシステムで、注文はインターネットで行うことができる。

　その「ポータルアスクル」のサイト内、キーワード検索プログラムにクロスサイトスクリプティングの脆弱性があることが判明した。ページはSSLで通信を暗号化しているものの、該当箇所に適切なサニタイジングが行われていなかったため、クッキーの詐取やページの改ざんなどが外部から可能になっていた。


　2003年11月25日の朝、Scan編集部宛てに読者から、アスクルのサイト上にCSS脆弱性がある旨のメールが届いた。さっそく検証してみたところ脆弱性の可能性が推定できることから、当日の夜に編集部からアスクルへ第一報を入れる。

　11月27日、アスクルでは調査を行い、その後に修正。同日の19時に対処を完了している。同時に編集部には、報告に対する御礼と、修正した旨、および告知を掲載した旨の連絡が届いた。

　報告から対処完了まで、アスクルではどういった部門、フローで業務が遂行されたのか。この件については同社のITサービス部門担当者から以下のコメントを頂いている。

【コメント（アスクル）】----------------------------------------------
　今回のように、お客様サービス部門にいただきました問題、クレーム等については、お客様サービス部門が指令塔となり、関連部門に対応指示が命じられます。
　今回は、Webサイトのシステム上の情報セキュリティに関わることですので、当社の情報システム部門であるITサービスが対応をいたしました。
　また、これらの情報は、同時に法務・コンプライアンス、広報などの管理部門及びサイトのオーナー部門等に伝えられ、プロジェクト的に必要な判断や問題解決の支援をいたします。
----------------------------------------------------------------------


　◇ポータルアスクル
https://portal.askul.co.jp/index2.jsp


[ Prisoner DAMRAK ]

https://www.netsecurity.ne.jp/article/1/11852.html





最新のセキュリティ情報メールマガジンの申込みはこちらから
http://www.vagabond.co.jp/c2/scan/ct.html（Scan）

http://headlines.yahoo.co.jp/hl?a=20031215-00000012-vgb-sci