パスワードを忘れた? アカウント作成
11881029 story
法廷

ネットショップでの情報漏洩、裁判で開発会社の責任が認められる 75

ストーリー by hylom
酷すぎるシステムはアウト 部門より
あるAnonymous Coward 曰く、

SQLインジェクションによってクレジットカード情報を含む顧客情報が漏洩したとして、あるオンラインショッピングサイトの運営会社がシステムを開発した会社に対し損害賠償を請求していた裁判で、東京地裁がシステム開発会社の落ち度を認め、約2262万円の損害賠償の支払いを命じる判決が出たそうだ(セキュリティ研究者・徳丸浩氏の日記北海道大学大学院法学研究科の町村泰貴教授のブログ)。

詳しくは徳丸氏の日記を参照して欲しいが、このサイトではSQLインジェクションだけでなく設計上不適切と思われる点が複数あり、裁判所は必要なセキュリティ対策を講じる責務を怠ったとし、また契約にあった損害賠償責任制限についても、故意あるいは重過失に起因する損害については責任制限の範囲外とするとして損害賠償の支払いを命じたとのこと。また、開発会社がカード情報をデータベースに保存しない方式を提案したが運営会社はそれを採用しなかった点については運営会社の過失都市、過失相殺3割が認定されたという。

結局、開発会社も運営会社もともにセキュリティ意識が不足していたが、開発会社はそのようなクライアントに対しても十分必要なセキュリティ対策を行うべきという判決であり、世の開発会社の皆様は注意しなければならないだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 過失都市 (スコア:3, おもしろおかしい)

    by CliffordSakaki (37720) on 2015年01月22日 18時11分 (#2748265)

    「過失都市」と聞いてものすっごいディストピアSF感を感じてしまった。

  • by Anonymous Coward on 2015年01月22日 18時30分 (#2748272)

    SQLインジェクションなどの、もはや常識となってるものについては開発会社の責になるのはしょうがないが、
    マイナーなセキュリティホールまで開発会社の責となると辛いな。
    十分な工数が取れるならともかく、高い高い言って値切る顧客多いし。

    • by Anonymous Coward

      その記録を取っておけば、こういったときに有利に働くのではないでしょうか。

    • by Anonymous Coward

      セキュリティ対策の工数をちゃんと見積もって提案して蹴らせておけば、発注側の過失は取れるんじゃないかなぁ……

      • by Anonymous Coward

        将来的に過失は取れるかもしれないけど、訴訟対応だけで体力ない会社は辛いねえ。

      • by Anonymous Coward

        程度にもよりますが、今回のようなSQLインジェクション対策やセキュリティ対策のパッチ適用などは「できてて当たり前」のレベルの事なのでやっていなければ責任は開発側になります。
        IPAが出している脆弱性対策 [ipa.go.jp]を取っておくぐらいは必要です。そこから先の対策なら追加工数の交渉に入れるでしょう。

        • by Anonymous Coward

          それは当たり前の工数が与えられた…という前提が必要ですけどね。

          • by Anonymous Coward

            顧客に説明を尽くした上でなら責任は無いだろうが
            そうじゃないから過失責任が認められたんだよ

    • by Anonymous Coward

      大規模なプロジェクトならアプリ開発におけるセキュリティ上のコーディング規約があると思うけど違うの?

      • by Anonymous Coward

        規約があることと、それが守られてるかどうかは別問題。
        それに守らせようとすれば理解度の低い新人とか使えなくなるし単価上がるでしょう。

        • by Anonymous Coward on 2015年01月22日 22時11分 (#2748401)

          理解度の低い新人を使えるようにするため規約というのは存在するのですが。
          理解度低いんだから理解させて納得させるんじゃなく機械的に守らせろよ。

          親コメント
        • by Anonymous Coward

          「規約を決めても守る気なんかありません」とか堂々と言うなよ…

          • by Anonymous Coward

            日本語の不自由な人に日本語で規約を出しても守られないからねw
            上の人のコメントで”守る気はないと堂々と言う”って解釈するんだもんな

            ちょっと仕事でそういう奴に困らされた経験あるもんで黙っていられんかった
            いるんだよねぇ、難癖つけて足引っ張るのが趣味な人

    • by Anonymous Coward

      何のためにユーザーテストや検収があるんだよ。
      両方の問題だろ。

      • by Anonymous Coward

        いいえ。ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし対策を施していなければ債務不履行にあたります。

      • by Anonymous Coward

        「テストが必要になるブログラムを作るのが悪い」と言われたことが
        まあユーザーテストなんて機能面だけでセキュリティなんてやらないところが殆どかと

      • by Anonymous Coward

        SQLインジェクションの存在をユーザーテストで発見しろというのはさすがに無理筋では。

      • by Anonymous Coward

        正常系の機能とか画面デザインなんかは兎も角、セキュリティに関してまでユーザーテストや検収でチェックしろってのは無理だろう。
        むしろそんな部分までチェックする能力のあるユーザーなら、SIerに頼むより自社で開発した方が安上がりだ。(PGとかが足りないなら個人事業主なり派遣なりを使えばいいだけ)

    • by Anonymous Coward

      要求仕様に「セキュリティ上の問題がないこと」とか平然と書く奴もいるし、それを受け取っちまうバカもいる。
      『既知の』ならともかく。
      そのうえで「こんな当たり前のことでどうしてこんなにカネがかかるんだ」とか叫ぶ奴がいたりとか。

      #OSSの未知のバグまで面倒みれませんって。

      • by Anonymous Coward

        #OSSの未知のバグまで面倒みれませんって。

        やだなぁ、OSSにバグがあるわけないじゃないですか

      • by Anonymous Coward

        発注者の立場としては、できる限り広く書くので、「セキュリティ上の問題がないこと」って普通のことでしょ。
        受け取る側が付け加えるのならともかく、そのまま受け取ったらラッキーですよ。

  • by Anonymous Coward on 2015年01月22日 18時35分 (#2748274)

    初期管理者アカウントのadmin/passwordが脆弱性となると、この手の設定してる会社はすべて変えないといけなくなるな・・・・

    • これからはデフォルトパスワードではなくて、初回ログイン時にパスワードを設定させる機能が常識になるかなぁ。

      親コメント
    • by Anonymous Coward

      これは上級審で覆るのでは?

    • by Anonymous Coward
      うちの納入したシステムはsys/change_on_installだから、変えてない顧客が悪いでおk?
      • by Anonymous Coward

        ん、最近はインストーラー経由だと設定出来なくなってなかったか、それ。
        直にSQL叩り、後から変更したら設定できたとは思うけど。

      • by Anonymous Coward

        だめです。変更していないことを知っているのに顧客に変更を勧めていないなら説明義務違反で100%の賠償責任を負いますし、伝えていても変更していなければ適切なセキュリティ対策が採られたアプリケーションを提供すべき債務の不履行で負けます。初期設定のパスワードは技術者ならよく知っているものであり、「予見不可能」の言い訳は通用しません。

        とっとと変更しないと、被害に遭って顧客から訴えられたとき負けて賠償責任を負わされますよ。

    • by Anonymous Coward

      「scott/tiger」も脆弱性ですか?

    • by Anonymous Coward

      この間もっとも多いパスワードが「password」って言う記事見て、
      ひょっとしたら「Enter password」って書いているからでは?と思ってしまったのだが、これも説明義務違反ですか?
      ※正直者が「ふんふん、passwordって入力するのね?」と思った

  • by Anonymous Coward on 2015年01月22日 18時54分 (#2748284)

    http://misawa-corp.co.jp/ [misawa-corp.co.jp]
    https://misawa-corp.co.jp/ [misawa-corp.co.jp]

typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...