ダイビング保険会社の脆弱性、報告後に法的な脅迫を受ける
カリフォルニア州在住のプラットフォームエンジニア兼ダイビングインストラクターである[氏名]氏は、2025年4月、コスタリカにあるココス島でダイビング旅行中に、主要なダイビング保険会社の会員ポータルに重大な脆弱性を見つけた。この脆弱性は、予測可能なユーザーIDとデフォルトパスワードの再利用により、ユーザーアカウントへのアクセスが容易になっており、個人情報を含む敏感データが漏洩する可能性があった。[氏名]氏は、組織に報告し、30日間の修正期間を設けた。しかし、組織はCSIRT Malta(マルタ国家サイバーセキュリティインシデント対応チーム)にも報告したことを非難し、公表しないよう脅迫してきた。最終的に、[氏名]氏は、組織の行動がユーザーデータ保護よりも評判管理を優先しているため、脆弱性の存在と報告プロセスについて公表することを決定した。
背景
このニュースは、セキュリティ研究者である[氏名]氏が、ダイビング保険会社の会員ポータルに脆弱性を見つけて報告したことを巡り、組織が公表を阻止しようと法的な脅迫を行ったという事件についてです。これは、セキュリティリサーチコミュニティにおける責任ある開示の重要性を浮き彫りにしています。
重要用語解説
- **CSIRT Malta**: マルタ国家サイバーセキュリティインシデント対応チーム。マルタに登録されている組織に対する脆弱性報告を扱う機関です。
- **NCVDP**: マルタ国家サイバーセキュリティインシデント対応チームの公式な脆弱性報告ポリシー。
- **GDPR**: 欧州連合(EU)の一般データ保護規則。個人情報の収集、処理、保存に関する規制です。
今後の影響
このニュースは、組織がセキュリティ問題を隠蔽しようとする傾向を示しており、セキュリティ研究者と企業間の信頼関係の重要性を改めて認識させます。また、GDPRなどの規制遵守の重要性も強調しています。