今朝もしっかり朝寝坊して、散歩はコンビニ買い出しのみ。そろそろ新月に近づいて、入江川の水位が大きく下がっている。こうしてみると町中のドブ川なのだが、海に近いこともあって水が入れ替わるのは多少マシである。夏場は水が引くと臭いがきついのだが、この時期はまだそれほどでもない。
今日は、午後から某客先に出かけ、ちょっと打ち合わせをして帰ってきた。
帰りは秋葉経由で、ちょっとヨドバシを冷やかし。買わないまでも、時々、新製品などのチェックは重要である。(笑)帰ってきたら、駅付近のツツジが満開になっていたので、ちょっと見て回る。
八重桜も散り始めて、そろそろツツジの季節である。道路沿いの生け垣も綺麗に咲き揃っている。
そう言えば、「チケットぴあ」のサイトの不正アクセスでカード情報が流出したというニュースを見た。セキュリティコードも流出・・・という話なので、そもそも、そんなものを保存してはいかんだろう・・・・と思って、ニュースリリースを読んで見た。本来保存する仕様になっていなかったはず・・・という話で、知らない間に(勝手に)保存されたり、ログに記録されていたりしていたという文脈である。Struts 2の脆弱性が原因らしいが、なにやら言い訳がましい書きっぷりである。「これらは、3 月初旬より同時多発的に生じている、一連のサイバー攻撃による事象と同じものであり、・・・」と巻き添えを食ったかのような表現有り、開発会社や運営会社の実名を挙げて、責任を強調するような書きっぷりありと、なかなか往生際が悪い。まぁ、それはさておき、この後始末がどうなるのかは興味深い。最近、こうした事例で開発元や運用委託先等の責任を法的に追及する動きも増えてきているのだが、今回の場合、脆弱性を認識していて、その上で修正パッチを当てる作業の判断をどのようなプロセスで行っていたのかはひとつの焦点だろう。これも、ぴあ側は、「まさかカード情報まで保存されているとは思わなかった」と予防線を引いている。おそらくは、(暗黙に)サイトの稼働を優先していた可能性もある。次に問題になりそうなのが、カード情報の取扱に関して、どこまで仕様に明記していたかだろう。「保存禁止」「ログ等への出力禁止」が明記されていれば、ぴあ側に問題はないのだろうが、単に書いていないことをやったという話だと、ややこしい。いまやカード情報の取扱において、セキュリティコードを保存しないのは業界の「常識」のはずだが、まだまだ開発者の常識にはほど遠い。裁判沙汰になれば、そのあたりも争点になるだろう。先般、アプリケーションの脆弱性に関しては、開発元の「常識」欠落の責任を問う判決も出て論議を呼んでいるが、今回は脆弱性に関しては開発元の直接的な責任ではない。ぴあ側が「想定外」としているカード情報保存について、仕様がもし曖昧であったならば、どこまでを「常識」と考えるかという議論が、カード情報についても起きる可能性があるだろう。仕様が具体的であっても、受け入れ時の確認もれに関する責任は、リリースにも書かれているように、ぴあ側も負わざるを得ない。ちょっとウォッチしておきたい事案である。
さて、そんな感じで今日も暮れ、明日は自宅で仕事をしつつ、夕方に都内で一件打ち合わせの予定だ。
コメントする