あるオンラインサービスを利用していてWebサイトの脆弱性に気が付いてしまった。
脆弱性の指摘は、かなりナーバスになる問題なのだけれど、サイトにTRUSTeのバナーが貼ってあり、「プライバシーポリシー」にそのあたりの表記もあったので、報告してみた。
以下、その内容。
--(ここから)
・・・さま
いつもお世話になっております。
・・・・・・ のプライバシーポリシーのページ
(https://・・・.・・.・・/・・・・)
TRUSTe-JAPAN の WatchDogプログラムのぺージ
(https://secure01.hs.kddi.ne.jp/truste-jp.org/page016.html)
を拝見し、ご報告させていただこうと思いました。内容ご確認の上、ご対応宜しくお願いいたします。
【問題点】
・・・・・ページにおける・・・・・・・・の問題
サーバーにおいて・・・・・・・・・・に・・・・・の問題(参照先http://・・・・.・・.・・)を見つけましたのでご報告します。
【原因】
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・のため。
【プライバシーに関わる懸念事項】
実際に当社も御社のサービスを利用させていただいておりますが、・・・・・・・・・・・・・・があります。
・・・・・・・・・・・・・・・ので、攻撃対象は非常に容易にリストアップできること
・・・・・・・さえできれば、・・・・・・のプライバシー情報にアクセスできること
・攻撃のためのコーディングは容易に行えること
などから、早急な修正を行っていただけるようお願いいたします。
【修正対応について】
・サイト上での脆弱性、修正内容の公開などを求めるものではありません。
・修正されましたら、念のためご報告いただけると幸いです。
・当社も御社サービスの利用者です。より安心して使えるサービスの実現を望みます。
尚、この問題は、・・・・・・・・・・・・・・・・・・・・を拝見していた際に、インデックスページが無いかと思い(http://・・・.・・・.・・/)へアクセスを試みた時にたまたま見つけたものです。サイト上のその他の箇所について、問題が無いかどうかをチェックしたわけではありませんのでその点はご了承ください。
今後とも良いサービスのご提供を期待しております。
--(ここまで)
結果だが、24時間以内に問題は修正された。
メールで修正報告もいただいた。
今回問題点を伝えようと思ったのは、
・自分がそのサービスの有料での利用者であること
・TRUSTe-JAPAN のバナーと説明がサイトにあったこと
の2点がポイント。
つまり気持ちの上では「TRUSTe-JAPAN 」の効果に期待したのだ。
少なくともユーザーの立場で問題点の指摘はできる、と読み取れる。
ただしTRUSTeの「認定サイト」に脆弱性が放置されている、という事実は残るが。
見つけた脆弱性のうちの一つは、そのサイトが使っているASPサービスの問題だった。その外部ASP会社もまたTRUSTe-JAPANマークを取得している。
このあたりが問題なのだが。
