あるAnonymous Coward 曰く、今年3月、メガネのネット販売を行うJINSオンラインショップに不正アクセスがあり、2059件の顧客情報が漏洩する事件があったのだが、5月1日にこれに対する調査報告が公表された(日経ITpro)。調査報告によると、Apache Struts 2の脆弱性を利用してシステムに侵入されたとのと。JINSオンラインショップでは脆弱性が指摘された古いバージョンのものが使われていたそうだ。システム構築および保守サポートはベンダに委託していたとのこと。契約内容や保守状況にもよるが、ベンダ側の責任が問われそうだ。
「ベンダ側の責任が問われそう」? (スコア:4, 参考になる)
ちなみに自分は業態は全然違うけど、委託する側の小さな会社のシステム企画部門にいます。
で、自分の会社でもWebSiteについては開発・運用・脆弱性診断をそれぞれ別な会社(←ココ重要)に外部委託しています。
利用するミドルウェアの選定なんかはコンテンツ制作会社のノウハウに依存せざるをえないので、コンテンツ制作会社に任せっきりです。
しかしウェブのコンテンツ制作会社なんかは、どちらかと言うとデザインよりの集団な事が多いので、彼らに全部任せっきりは結構危ない事が多い。
だからこそ、それぞれ別々な会社に委託している。
診断専門の会社には、リリース前は勿論、定期的に脆弱性診断を受けて確認し、
サーバーの運用会社からも脆弱性の最新情報が日々送られてくるし、
自分らも使ってるもののバージョンは把握しているので、日々IPAとかの発表はチェックしています。
で、バージョンアップの必要性を社内で(つーか判断できるのは社内で自分とあともう一人くらいですが・・・)検討して、適宜バージョンアップしてる感じ。
WebSite上で顧客情報を取り扱ってなくても一応この程度には気を使ってるのに、
個人情報も取り扱ってるコンテンツで、ぜ~んぶ開発から運用(脆弱性診断はやってるのか?)を
1社に任せっきりにしておくってのは重大な過失だと思うし、調査委員会の指摘はもっともだと思う。
Re:「ベンダ側の責任が問われそう」? (スコア:3)
>個人情報も取り扱ってるコンテンツで、ぜ~んぶ開発から運用(脆弱性診断はやってるのか?)を
>1社に任せっきりにしておくってのは重大な過失だと思うし
どう考えても過失は言い過ぎ。単なる方針の違い。
過失というからには、それが原因で事故が発生していなければならないが、そうではない。
もちろん、ベターだとは思うが、手間暇や、責任のなすりつけ合いを避けるために、丸投げすることもひとつの判断。特に発注者に充分な知識や経験がなければ、その方がスムーズ。
過失は、脆弱性情報の収集を行っていなかったことか、判断を間違えてバージョンアップしなかったこと。それが誰の責任だったかは契約次第。
>一応この程度には気を使ってるのに、
そう、気遣いのレベル。必須なこととはいえない。
ベンダ側の責任ねぇ… (スコア:2, 興味深い)
既に調査委員会でベンダの責任、と断言されちゃってるけど
バージョンアップする、って言ったらさせてくれたのかね?
#…という考え方がもう定着しちゃって
Re:ベンダ側の責任ねぇ… (スコア:1)
アップデートの提案はアップデートするためにやるのではありません。提案が拒絶されたという実績を作る(=客の責任にする)のが目的です。
Re: (スコア:0)
全部丸投げするならシステム停止判断も丸投げしてほしいね
Re:ベンダ側の責任ねぇ… (スコア:1)
運用は別じゃない?
運用を請け負っていたら、脆弱性が明らかになる度にバージョンアップのお伺いを立てる義務があるんだろうけど。
あとはソフトウェア保守の契約内容次第だけど、適宜脆弱性情報を通知するくらいの義務はあったかもしれない。
改修案件の要件にバージョンアップは含まれていなかっただろうし、その要件で合意したんだから瑕疵はない、と考えたいところだけど。
Re: (スコア:0)
そんな丸投げありえるわけないだろw
普通に調整すりゃいいだけなのに、なんで断絶しようとするんだよ。
# 顧客も元請も上司も敵に見える奴は、さっさと辞めましょう
Re: (スコア:0)
「顧客、元請、上司」が韓国中国みたいな振る舞いをしてたとしたら?
Re: (スコア:0)
いやいや、脆弱性の報告と(有償でも)バージョンアップの提案はしとかないと。責任は客に押し付けましょうよ。
どうせ止められないから、なんて思い込みでノーアクションだったならベンダが責められて当然。
Struts終了のお知らせ (スコア:0)
Strutsの代替にしてもSpring MVCは複雑なうえ機能的にどっこいというレベルなわけで、
実際の所別に商用で使えるレベルで且つStrutsほど実装の容易さが理由で普及するウェブ
フレームワークはここ数年出現しなかったのが逆に不思議でならない。
実際Strutsの古典的ウェブで十分ということなのだろうか。決済が絡むと複雑にコンポーネントされているよりは
簡易な方が良いのかもしれないが。JSFがお亡くなりになったのがやはり問題だったのかしらん?
# Play!で決済系とか名前からして採用されないだろうしね。偉い人が理解してくれんでしょ。
Re: (スコア:0)
>Strutsほど実装の容易さが理由で普及するウェブフレームワークはここ数年出現しなかったのが逆に不思議でならない。
なんでそれが不思議に思えるか逆に不思議。
・Linuxに代わるサーバーOSがここ十年出現しなかったのが不思議。
・Windowsに代わるクライアントOSがここ十年出現しなかったのが不思議。
・J2EEに代わるサーバー開発言語/環境がここ十年出現しなかったのが不思議。
そういうことは言わないでしょ?
>実際Strutsの古典的ウェブで十分ということなのだろうか。
一度普及し、十分に広まったプラットフォームは、特に理由が無い限りは変わらない方がいい。
むしろWindowsについては、計画的陳腐化のために無駄に変化してることが批判の対象になってる。
#機能追加くらいは構わないけど、互換性のない変更はとても困る。
#WindowsとかIEとかPHPとか。
Re: (スコア:0)
StrutsとStrust2はかなり違うよね。
Re: (スコア:0)
まぁ、WebWorkだし。
Re:Struts終了のお知らせ (スコア:1)
「いずれにせよゴミ」という一貫性のあるフレームワークですので、問題ありません。
Re: (スコア:0)
まさにこれ
Javaやってる連中って、フレームワークにしてもライブラリにしても、ホント糞みたいなもんしか作らないよね
OGNL? (スコア:0)
SCEの情報漏えいもStrutsの可能性があるそうですが、OGNL絡みでしょうかね。
Strutsは検索すると1年に一回任意のコマンドが実行される脆弱性がでており、ほとんどOGNL絡みのようにみえます。
Re: (スコア:0)
WindowsとUNIXを喧嘩させて貶めて漁夫の利を狙ってみました(棒読み
Re: (スコア:0)
JavaにOSは関係無いでしょ・・・
Re:UNIXなら (スコア:2)
Struts(フレームワーク)の脆弱性だという話に
なんでOSや言語が出てくるの?
Re: (スコア:0)
JVMのセキュリティホールなら、地味にプラットフォームごとに
出たり出なかったりすることはあります。
Re: (スコア:0)
つーかJavaのセキュリティホールといえば殆どの場合JVMよりJava plug-inの話でしょ