アップルとアマゾンのセキュリティ対応はこんなにも違う

アップルとアマゾンのセキュリティ対応はこんなにも違う 1

マット・ホーナン記者ハック事件ではアマゾンが落ち度を認め謝罪して運用ポリシーを見直しましたが、アップルは運用ポリシーに従わなかった窓口が悪い、と言ったのが印象的でしたね。

アマゾンの場合

上のツイートはワシントンポストのロブ・ペゴラロ記者が流したものです。ご覧のように「アマゾン広報タイ・ロジャース(Ty Rogers)さんからメールあり。@matのハックで使われたアカウントの脆弱性は塞いだそうです。昨日(米時間火曜)の段階で」とあり、脆弱性があったことを認め、対処したことがわかります。

アマゾンの穴は「クレカ下4桁がハッカーに見られた」ってところがワイヤードの記事でもクローズアップされているので目立たないけど、その気になればアカウント本体に入って他人様のクレジットカードを残高いっぱい遣い込める(小包の届け先住所の変更にはクレカの番号を全部再入力しないといけないので、それはムリだけど)という怖いものでした。塞がったのは何よりですねー。

これからは電話で依頼がきてもクレジットカードの情報は追加できなくなった、とワイヤードは追記してます今回のハックはそこが最初の突破口でしたからね!

アップルの場合

一方、アップルは声明で「社内の調べで、当社のポリシーが全く守られていなかった、ということが分かった」と発表。んーつまりポリシーに落ち度はない、こんなのは本来あってはならないことなんだ、と言うのですが...う~ん...それはどうかな...

というのも、アップル社内の人からワイヤードが聞き出した話はこうだったのです。

「もしハッカーからの電話を受けたサポート窓口が、Apple ID、請求先住所、クレジットカード下4桁の番号を言えるかどうか確かめて仮パスワードを発行したとしても、その子はアップルのポリシーに『完全に』従ったまでのこと」

なんだか内々でやってることと表向き言ってることが違いますよね。傲慢からくる言葉なのか恥ずかしさからくる言葉なのか、はてまた訴訟対策なのか...どっちでもいいんですが、これだけ僕らの個人情報を沢山抱えている会社が自分の落ち度を認めて穴塞ごうとするんじゃなく、面子守るためにとりあえず言い逃れするなんて本当に大丈夫なのかな...って思ってしまいますよ。

そんなアップルではありますが「電話で依頼のあったAppleIDパスワード変更の処理をただちに止めるようサポート担当社員に命じた、命令解除は早くて24時間後」と、ワイヤードは続報で報じてます。フリーズしている間に何をすべきか対策を話し合うんでしょね。ここはアップルにもきっちり手綱を引き締めてもらって、こんな酷いハックはそう簡単には再発しないよう願いたいものです。

[Wired@robpegoraro]

Kyle Wagner、Casey Chan(原文1原文2/satomi)