「OWASP Kyushu Local Chapter Meeting 2nd」の実況ツイートまとめ
- takesi_yosimura
- 1361
- 0
- 0
- 0
事後対策 ・顧客対応 ・事後調査 ・ウェブサイト ・一次利用停止 ・リクナビネクストと応募フォーム変更 #owaspkyushu
2015-06-13 14:33:34よくある対応 ・被害拡大防止 ・本人通知、事項情報の公表、主務大臣報告 、サイト閉鎖、カード停止 ※個人情報保護法 #owaspkyushu
2015-06-13 14:35:56場合によっては記者会見も 顧客対応が殺到するのでその対応も どんどん悪いようになるので決断を #owaspkyushu
2015-06-13 14:37:09行政庁対応 ・監督官庁への報告 ・指導・命令などへの対処 ・自社内安全管理措置などの見直し ※時間が遅くなるとつつかれて措置が重くなることも #owaspkyushu
2015-06-13 14:39:23主張した損害が、 合計:1億0958万4809円 ・そもそもの費用 ・顧客対策 ・調査 ・雑費 ・売上の機会損失 #owaspkyushu
2015-06-13 14:41:33ラック調査報告書 ・流出時サーバー保持件数 個人情報9482件、クレカ情報6795件 ・ログ調査の結果、3530件のSQLインジェクション #owaspkyushu
2015-06-13 14:42:46実際にSQLインジェクションに対する脆弱性があった ログ調査から攻撃があったことは分かっている 「流出の原因と報告書で特定されていない」が『推認』されている #owaspkyushu
2015-06-13 14:47:10SQLインジェクションによる侵入であることを前提に債務不履行について 「黙示的に合意されていた」と認められる #owaspkyushu
2015-06-13 14:52:21クレカ情報以前から保存されていた個人情報の関係で、そもそも当初の時点から漏洩を防ぐための債務が課されていると判断・・・ #owaspkyushu
2015-06-13 14:53:46義務違反について (SQLインジェクション) →IPAに広く周知されていたので知っとけよ #owaspkyushu
2015-06-13 14:54:57情報削除や暗号化は義務だったのではないか? →IPAの資料も廃棄、暗号化を「望ましい」と指摘しているにすぎないので義務ではないそうな #owaspkyushu
2015-06-13 14:57:22金額認定について、 全額は認められなかった(脆弱性を除けば使えてたから・・・というか不当利得?) #owaspkyushu
2015-06-13 15:02:22売上損失(機会損失)は証明が非常に難しい。 民訴法248条から裁判所が判断したとのこと #owaspkyushu
2015-06-13 15:04:14