インシデントの発見

サービスが開始したシステムを利用している際、稀に個人情報が見えてしまう事態が起きることがあります。

理由は多種多様ですが、いずれにせよ自分が見てはいけない情報が見えてしまったことは「セキュリティインシデント」となります。

最近は普通の利用ですらそうしたことが起きる時代になった気がします。

正しい対策

こうしたものを見つけた場合は、以下へ通報してそこの指示に従ってください。

  • 利用しているシステムの公式ホームページのお問い合わせ
    • 作っている元に通報するのは基本
    • ただすぐに対応しない場合もあったり、フォームがないとかもある
    • そんなときは以下の2つもある
  • JPCERT コーディネーションセンターのインシデント対応依頼のページ
    • フィッシングなどのセキュリティインシデント系を全般に受け付けてくれるようです
    • どうやって依頼するかのサンプルも用意されていますのでそちらも参照
  • IPA 独立行政法人 情報処理推進機構の脆弱性関連情報の届出受付ページ
    • 情報セキュリティの試験を実施している場所としても知られるIPAさんの受付窓口
    • 公式ページにフォームがない等は、こちらに通達すれば仲介してくれるようです
    • 「情報セキュリティ早期警戒パートナーシップガイドライン」もあるので、そちらも参照

以前はデジタル庁にも受付用のページがあったようですが、現在は無くなっているようです。

 

指示に従えというのはそのシステムに対して自分からは何もしないことも含まれます。

大抵は確認されたら公表するまで他言無用とお願いされるそうです。

というか晒してしまうとと逆にそれが理由で訴えられる危険もあるので絶対に他言無用です。

注意点

よくインターネットではおもちゃにして遊ぶ人も居ますが、威力業務妨害等の犯罪に問われる危険が高すぎるのでやめましょう。

システムをデバッグする地雷処理班は会社に居るはずなので、その方々に任せるべきです。

 

ましてや遊びに行ったら行ったで既にウィルスが埋め込まれて感染しても責任取れません

見つけてもそのシステムにはアクセスしない方が身のためと言えます。


お手軽に体験してみたい

徳丸浩氏が開発したBad Todo Listというものがあります。

プライベートな環境にこれを構築すると、脆弱性だらけのサイトがすぐに完成します。

 

本来はこの状態からどうやって脆弱性を潰していくかという実践的な実習用教材となります。

ただ潰す前の状態って滅多に見られないので、これを使って体験するのも有りかもしれません。

 

言っておきますが外部から接続できるような場所に構築しないように。

脆弱性だらけですぐにおもちゃになってIPA案件になるので自分だけのローカル環境、プライベート環境を用意しましょう。