緊急投稿:またPayがやってくれた
コメント
注目のコメント
寄稿ありがとうございます。
お話から、脆弱性を真剣に考えたわけではなく、あくまでPCI DSSおよびPA-DSSの基準に沿って実装したということですね。
ということは、7payにはユースケースから脆弱性を想定できるセキュリティ専門家は存在せず、すべて外に丸投げしたように見えます。
『したがって、どこぞの会社がやったというセキュリティレビューも、PCI DSSやその関連基準であるPA-DSSベースでレビューしたんだとしたら、今回のような欠陥には気づかなかったというのも合点がいきます。』
〈追記〉
私は専門じゃないので的外れかも知れませんが。
PA-DSSの規定は更に広範囲で適用されるPCI DSSのサブセットなので、PCI DSSと整合取るために複数要素による認識についてはさほど強く求めていないではないかと理解してます。
つまりは、これに準拠してるから大丈夫なんて話ではなく、本来どう使われて、どこに脆弱性があるかの検討と対策は必須という事でしょう。
当たり前の話ですが、そんなことが抜けてるという事が根本的にあり得ないですわね。いま思えば、このひどいURLが、今回の問題を予言していたのでしょう。
https://www.7andi.com/company/news/release/190212_copy_copy_copy_2_copy_copy_copy.html社長がセキュリティで基本的なことを何一つ理解していないのが割と衝撃的。
お客様第一と利便性みたいなお題目は結構喋れるが、素人のはずの記者が理解していることを理解できていなくてそれにも気が付いていない。
まぁ、日本の伝統的な会社ではよくある風景。
まぁ日本の伝統的な会社ではよくあることではあるんだけど、専門的なことに関してはバカもしくはバカのふり方が勝つみたいな文化は健在だなぁ。