| 事例名称 |
A社ノートパソコンのセキュリティ上の問題 |
| 代表図 |
|
| 事例発生日付 |
2002年01月24日 |
| 事例発生地 |
日本、韓国、台湾、ホンコン、シンガポール、マレーシア、オーストラリア、ニュージーランド、アラブ首長国連邦、サウジアラビア、南アフリカの国内 |
| 事例発生場所 |
A社ノートパソコン |
| 事例概要 |
A社は、パーソナルコンピュータ「B型」、および付属のリカバリーCD上のB型専用プログラムのバージョン3.0又は3.1に、セキュリティ上の脆弱性があることを確認。問題とされる、「B型」コンピュータは、2001年5月以降に、日本国内で販売されたものと、同年11月以降に韓国、台湾、ホンコン、シンガポール、マレーシア、オーストラリア、ニュージーランド、アラブ首長国連邦、サウジアラビア、南アフリカの国内で販売された約900,000台のパーソナル・コンピュータが対象となっている。(米国、中南米、ヨーロッパ、中国で販売されたものは、対象外となっている。)この問題は、B型のセキュリティの脆弱性を利用して、インターネット又は電子メール等を経て第三者が、B型に攻撃を仕掛けてきた場合、B型のセキュリティが守られなくなり、「B型」・コンピュータ内のデータの書き換えや破壊、コピー又は上書きすることを可能にするものである。 |
| 事象 |
A社は、パーソナルコンピュータ「B型」、および付属のリカバリーCD上のB型専用プログラムのバージョン3.0又は3.1に、セキュリティ上の脆弱性があることを表明。問題とされる、B型・コンピュータは、2001年5月以降に、日本国内で販売されたものと、同年11月以降に韓国、台湾、ホンコン、シンガポール、マレーシア、オーストラリア、ニュージーランド、アラブ首長国連邦、サウジアラビア、南アフリカの国内で販売された約900,000台のパーソナル・コンピュータが対象となっている。(米国、中南米、ヨーロッパ、中国で販売されたものは、対象外となっている。) |
| 経過 |
この問題が表明したのは、B型を購入した顧客からA社に、購入したB型にはセキュリティ上の懸念があるという連絡が入り、A社は直ちに、問題とされるコンピュータの検査を始めた。12月後半に、A社は、セキュリティ上に脆弱性があることを発見。又、この脆弱性を利用して、インターネット又は電子メール等を経て第三者が、B型に攻撃を仕掛けてきた場合、B型のセキュリティが守られなくなり、B型・コンピュータ内のデータの書き換えや破壊、コピー又は上書きすることを可能にすることも確認。A社は対象とされるコンピュータの購入者に、日本語と英語のホームページでその旨を知らせると共に、B型に対する攻撃の予防対策として、「B型セキュリティ強化プログラム」として、インターネット上での回復用のソフト・ウェアのダウン・ロード・サービスを提供。又、ダウン・ロードが出来ない顧客には、回復用のCD-ROMを提供した。 |
| 原因 |
B型のセキュリティの脆弱性を利用して、インターネット又は電子メール等を経て第三者が、B型に攻撃を仕掛けてきた場合、B型のセキュリティが守られなくなり、B型・コンピューター内のデーターの書き換えや破壊、コピー又は上書きすることを可能にするものである。 |
| 対処 |
A社はこの問題を、日本語と英語のホームページで知らせると共に、B型に対する攻撃の予防対策として、「B型セキュリティ強化プログラム」として、インターネット上での回復用のソフト・ウェアのダウン・ロード・サービスを提供。又、ダウン・ロードが出来ない顧客には、回復用のCD-ROMを提供した。 |
| 対策 |
A社は今後このような問題が起きない様、ソフトウェアのセキュリティチェック体制の整備に継続的に取り組み、製品のセキュリティ強化に努める旨を表明している。 |
| 知識化 |
今回の問題に対し、特別な被害は報告されていないが、セキュリティ上の欠陥は、会社又は個人の機密情報が、第三者に露出する可能性が高く、社会に対する被害も大きなものとなる為、コンピュータを市場に出す際には、もっと念入りなセキュリティ上の検査を、行なう必要があると思われる。 |
| 後日談 |
B型のセキュリティ問題が表明した日の朝、A社の株価は短期間値を下げたが、問題がそれほど大きなものではない事が判明した午後には、株価はもとの値に戻った。 |
データベース登録の
動機 |
昨年、B型を購入しようと思っていたので、どの様な問題が起こったのか興味があった。 |
| シナリオ |
| 主シナリオ
|
無知、知識不足、過去情報不足、不注意、注意・用心不足、企画者不注意、製作、ソフト製作、機能不全、ソフト不良、機能不全、システム不良、コンピュータ、未来への被害、未出来の結果
|
|
| 情報源 |
http://www.sony.co.jp/SonyInfo/News/Press/200201/02-0124/
http://www.cnn.com/2002/TECH/ptech/01/25/sony.security.idg
http://zdnet.com.au/newstech/security/story
/0,2000024985,20263140,00.htm
|
| 全経済損失 |
US$1,490,000 |
| 分野 |
機械
|
| データ作成者 |
ヤエココン (SYDROSE LP)
中尾政之 (東京大学工学部附属総合試験所総合研究プロジェクト・連携工学プロジェクト)
|
