米国にCOMODOという会社がある。
TLSサーバー証明書を発行する認証局事業などを手掛けるセキュリティー企業です。
「コドモ」でも「ドコモ」でもなく、「コモド」です。
このセキュリティー企業が運営するフォーラム(掲示板サイト)が不正アクセスを受け、ユーザーの名前や電子メールアドレスなど、約24万5000人の個人情報が流出する事件が起きました。
【原因】
フォーラムで使用している掲示板構築ソフトvBulletinの脆弱性。
2019年9月23日に見つかった脆弱性で、ソフトベンダーから9月25日に修正プログラムが提供。
不正アクセスは9月29日に受けているので、修正プログラムの適用が遅れたために被害に遭った。
【想定被害額】
想定損害賠償額シミュレータの試算結果
・漏洩情報:約24万5000件
・漏洩情報:氏名、メールアドレス
・損害賠償額試算:2,940,000,000円(29億4,000万円)
【所感】
まともにシステム運用しているところであれば、通常検証環境に修正プログラムを適用し、テストを行って数日運用する。
んで、問題なければ本番環境に適用する流れになる。
そうしないと、システムそのものの安定運用が犠牲になってしまうリスクがある。
今回、修正プログラム公開から4日目で攻撃を受けているので、守る側としてはかなりキビシイ時間軸だと思った。
一般企業ならちょっと手に負えない気もする。
セキュリティ企業となると、それでも言い訳は厳しいのかもしれない。
以前マイクソ(マイクロソフトの略)のセキュリティパッチの不具合率を調べたことがあったのだが、セキュリティパッチの3割は不具合を抱えているという結果になった。
それを踏まえるとベンダーがリリースしたパッチを即座に適用するというのは安定稼働の観点からはリスクがある。
一方でパッチを早急に適用しないと、不具合を突いた攻撃を受けることになる。
あ、そこでWAF(Web Application Firewall)の登場となるわけか!