ネットショップでの情報漏洩、裁判で開発会社の責任が認められる 75
ストーリー by hylom
酷すぎるシステムはアウト 部門より
酷すぎるシステムはアウト 部門より
あるAnonymous Coward 曰く、
SQLインジェクションによってクレジットカード情報を含む顧客情報が漏洩したとして、あるオンラインショッピングサイトの運営会社がシステムを開発した会社に対し損害賠償を請求していた裁判で、東京地裁がシステム開発会社の落ち度を認め、約2262万円の損害賠償の支払いを命じる判決が出たそうだ(セキュリティ研究者・徳丸浩氏の日記、北海道大学大学院法学研究科の町村泰貴教授のブログ)。
詳しくは徳丸氏の日記を参照して欲しいが、このサイトではSQLインジェクションだけでなく設計上不適切と思われる点が複数あり、裁判所は必要なセキュリティ対策を講じる責務を怠ったとし、また契約にあった損害賠償責任制限についても、故意あるいは重過失に起因する損害については責任制限の範囲外とするとして損害賠償の支払いを命じたとのこと。また、開発会社がカード情報をデータベースに保存しない方式を提案したが運営会社はそれを採用しなかった点については運営会社の過失都市、過失相殺3割が認定されたという。
結局、開発会社も運営会社もともにセキュリティ意識が不足していたが、開発会社はそのようなクライアントに対しても十分必要なセキュリティ対策を行うべきという判決であり、世の開発会社の皆様は注意しなければならないだろう。
過失都市 (スコア:3, おもしろおかしい)
「過失都市」と聞いてものすっごいディストピアSF感を感じてしまった。
Re:過失都市 (スコア:3, おもしろおかしい)
酷すぎる誤字はアウト 部門
Re: (スコア:0)
あなた! hylomにしねといいますか!
Re:過失都市 (スコア:2)
6795件全権なんてあるし、リンク元もhylomedされた?
Re:過失都市 (スコア:1)
>hylomed
なるほど.一般名詞化を狙っている説ですか.
日本語では「ヒロむ」というマ行五段活用がいいのかな?
意図的でなければここまで高い確立で誤字が埋め込まれているのは納得しがたい.
あ,確立じゃなくて確率か.
私,少しヒロんでしまいました.
Re:過失都市 (スコア:1)
Re: (スコア:0)
Re:過失都市 (スコア:1)
原作:小松左京
ってなってても違和感ないな(笑)
Re: (スコア:0)
菊地秀行とかでも…
Re:過失都市 (スコア:1)
あー知ってる知ってる、アイレムが発売中止にしたゲームでしょ?
Web系の開発工数・単価を増やさねば (スコア:1)
SQLインジェクションなどの、もはや常識となってるものについては開発会社の責になるのはしょうがないが、
マイナーなセキュリティホールまで開発会社の責となると辛いな。
十分な工数が取れるならともかく、高い高い言って値切る顧客多いし。
Re: (スコア:0)
その記録を取っておけば、こういったときに有利に働くのではないでしょうか。
Re:Web系の開発工数・単価を増やさねば (スコア:1)
営業が勝手に「最高のセキュリティをお約束します」なんて吹いてた記録も…
Re:Web系の開発工数・単価を増やさねば (スコア:2)
それで出来上がったものは再考のセキュリティという…
RYZEN始めました
Re: (スコア:0)
まあ、テンプレのコピペだろうけど、下請けとして同席していて、いつもげんなりする。
Re: (スコア:0)
セキュリティ対策の工数をちゃんと見積もって提案して蹴らせておけば、発注側の過失は取れるんじゃないかなぁ……
Re: (スコア:0)
将来的に過失は取れるかもしれないけど、訴訟対応だけで体力ない会社は辛いねえ。
Re: (スコア:0)
程度にもよりますが、今回のようなSQLインジェクション対策やセキュリティ対策のパッチ適用などは「できてて当たり前」のレベルの事なのでやっていなければ責任は開発側になります。
IPAが出している脆弱性対策 [ipa.go.jp]を取っておくぐらいは必要です。そこから先の対策なら追加工数の交渉に入れるでしょう。
Re: (スコア:0)
それは当たり前の工数が与えられた…という前提が必要ですけどね。
Re: (スコア:0)
顧客に説明を尽くした上でなら責任は無いだろうが
そうじゃないから過失責任が認められたんだよ
Re: (スコア:0)
大規模なプロジェクトならアプリ開発におけるセキュリティ上のコーディング規約があると思うけど違うの?
Re: (スコア:0)
規約があることと、それが守られてるかどうかは別問題。
それに守らせようとすれば理解度の低い新人とか使えなくなるし単価上がるでしょう。
Re:Web系の開発工数・単価を増やさねば (スコア:1)
理解度の低い新人を使えるようにするため規約というのは存在するのですが。
理解度低いんだから理解させて納得させるんじゃなく機械的に守らせろよ。
Re:Web系の開発工数・単価を増やさねば (スコア:1)
ならば今すぐ愚民どもに英知を授けてみせろ!
Re:Web系の開発工数・単価を増やさねば (スコア:1)
ちょっと違うシナリオの方がわたしにはしっくり来る。
上手く立ち回りたかったらIPA推薦のコンサルタントが仕事を引き受けてくれる
みたいな落とし所がくるんじゃないだろか。
// 一度ワナに落ちたら夜逃げするまでしゃぶられる心配もあるがそれは別の話。
Re: (スコア:0)
「規約を決めても守る気なんかありません」とか堂々と言うなよ…
Re: (スコア:0)
日本語の不自由な人に日本語で規約を出しても守られないからねw
上の人のコメントで”守る気はないと堂々と言う”って解釈するんだもんな
ちょっと仕事でそういう奴に困らされた経験あるもんで黙っていられんかった
いるんだよねぇ、難癖つけて足引っ張るのが趣味な人
Re: (スコア:0)
何のためにユーザーテストや検収があるんだよ。
両方の問題だろ。
Re: (スコア:0)
いいえ。ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし対策を施していなければ債務不履行にあたります。
Re: (スコア:0)
「テストが必要になるブログラムを作るのが悪い」と言われたことが
まあユーザーテストなんて機能面だけでセキュリティなんてやらないところが殆どかと
Re:Web系の開発工数・単価を増やさねば (スコア:1)
非機能要件という括られ方が冷遇の根源ということも、ないわけではなさそうだなあ。
Re: (スコア:0)
SQLインジェクションの存在をユーザーテストで発見しろというのはさすがに無理筋では。
Re: (スコア:0)
正常系の機能とか画面デザインなんかは兎も角、セキュリティに関してまでユーザーテストや検収でチェックしろってのは無理だろう。
むしろそんな部分までチェックする能力のあるユーザーなら、SIerに頼むより自社で開発した方が安上がりだ。(PGとかが足りないなら個人事業主なり派遣なりを使えばいいだけ)
Re: (スコア:0)
要求仕様に「セキュリティ上の問題がないこと」とか平然と書く奴もいるし、それを受け取っちまうバカもいる。
『既知の』ならともかく。
そのうえで「こんな当たり前のことでどうしてこんなにカネがかかるんだ」とか叫ぶ奴がいたりとか。
#OSSの未知のバグまで面倒みれませんって。
Re: (スコア:0)
#OSSの未知のバグまで面倒みれませんって。
やだなぁ、OSSにバグがあるわけないじゃないですか
Re: (スコア:0)
発注者の立場としては、できる限り広く書くので、「セキュリティ上の問題がないこと」って普通のことでしょ。
受け取る側が付け加えるのならともかく、そのまま受け取ったらラッキーですよ。
どっちもグダグダだなぁ (スコア:0)
初期管理者アカウントのadmin/passwordが脆弱性となると、この手の設定してる会社はすべて変えないといけなくなるな・・・・
Re:どっちもグダグダだなぁ (スコア:1)
これからはデフォルトパスワードではなくて、初回ログイン時にパスワードを設定させる機能が常識になるかなぁ。
Re: (スコア:0)
これは上級審で覆るのでは?
Re:どっちもグダグダだなぁ (スコア:2, 参考になる)
これ判決は1年前に出ており確定しています。
判決内容の解説はこっちの方が詳しいです。
http://d.hatena.ne.jp/redips+law/20141026/1414327403 [hatena.ne.jp]
なお文中に出てくる調査に当たったL(社)はラックです。
Re: (スコア:0)
Re: (スコア:0)
ん、最近はインストーラー経由だと設定出来なくなってなかったか、それ。
直にSQL叩り、後から変更したら設定できたとは思うけど。
Re: (スコア:0)
だめです。変更していないことを知っているのに顧客に変更を勧めていないなら説明義務違反で100%の賠償責任を負いますし、伝えていても変更していなければ適切なセキュリティ対策が採られたアプリケーションを提供すべき債務の不履行で負けます。初期設定のパスワードは技術者ならよく知っているものであり、「予見不可能」の言い訳は通用しません。
とっとと変更しないと、被害に遭って顧客から訴えられたとき負けて賠償責任を負わされますよ。
Re: (スコア:0)
「scott/tiger」も脆弱性ですか?
Re: (スコア:0)
この間もっとも多いパスワードが「password」って言う記事見て、
ひょっとしたら「Enter password」って書いているからでは?と思ってしまったのだが、これも説明義務違反ですか?
※正直者が「ふんふん、passwordって入力するのね?」と思った
ん? (スコア:0)
http://misawa-corp.co.jp/ [misawa-corp.co.jp]
https://misawa-corp.co.jp/ [misawa-corp.co.jp]
Re: (スコア:0)
Slashdotted?
Re:ん? (スコア:1)
いや、トップページを白紙に差し替えただけ。
ググって出てくる配下のコンテンツに直にアクセスするとちゃんと残ってる。
# 小手先すぎるだろ
Re: (スコア:0)
たしかに コード200 を返してきますね。
しかも、改行ひとつのファイルを。
Re:ん? (スコア:1)