(情報元のブックマーク数
イプサ(資生堂の子会社)の情報漏洩の件は、SSIのコード
資生堂は2017年1月31日、子会社のイプサが運営する通販サイトで2016年11月に発覚した個人情報の漏洩について調査報告書を発表した。サイト内で使用していた「SSI」に脆弱性があったことに加え、通販サイトの運営システムに関連して同社が複数の事実誤認をしていたことが漏洩につながったとしている。
資生堂が公開した報告書 [画像のクリックで拡大表示]
個人情報の漏洩が発覚したWebサイトは「イプサ公式オンラインショップ」。当初、クレジットカード情報は最大5万6121件、それ以外の個人情報は42万1313件が流出した可能性があるとしていた。その後の調査で、さらにクレジットカード情報は9699件、それ以外の個人情報は150件で新たに情報漏洩の可能性があることが判明している。
最大の原因は、同サイトで使用していたSSIに脆弱性があったこと。SSIはHTML内にコードを書き込んで、簡単な命令を実行する仕組みのこと。何者かが不正にログインし、SSIの脆弱性を突いてバックドアプログラムを稼働させていた。「SSIの利用に関する脆弱性の認識が甘く、SSIの利用箇所を限りなく少なくするなどの対策を取っていなかった」(資生堂広報)。
ニュース - 資生堂子会社の情報漏洩で報告書、「SSI脆弱性と複数の事実誤認が原因」:ITpro
