さすがDAZNさん、肝がすわってる…？バックレはダメですよ…？

DAZNの配信障害に対するお詫び品(QUOカードPay500円相当)申請用の登録フォームは未だにアクセスできない状況が続いています。この週末は何の対応もなく、Twitter上にも個人情報流出の可能性などについては言及された形跡はありません。DAZNにおけるセキュリティインシデントが発生した際のマニュアル等、機会があれば拝見させていただきたいですが…。そもそもなぜ平文で個人情報を送付するフォームを作成したのか？というところではありますが…。

事業会社でエンジニアをしていた頃、とにかくセキュリティは最優先事項でした。会社は高いコストを割いてでも社員にセキュリティ教育を受けさせ、エンジニア組織においては、プロダクション環境で作業を行うためには社内のセキュリティ試験(一夜漬けで突破できるようなものではなく、それなりに時間をかけた準備が必要)に合格しなければならないというルールが徹底されていました。

新規構築したサービスの開発にはQAの工程の中にツールを使った脆弱性スキャンや、セキュリティ監査も含まれていて、何かあった時にすぐに対処が出来るようにサービスを一時的に停止するような仕組みおよびその手順書の作成もmustでした。

そういう組織出身の自分からしたら、個人情報を含む申請フォームを暗号化しないで運用しようなんていう発送がまず有りえません。 先日👇こんなTweetを見かけました。インフラエンジニアカップルであれば、同じWifiのアクセスポイントを使っていても微笑ましい心理戦が繰り広げられたかもしれませんが、、

彼氏がスマホで何をしているのか知るためにWiresharkメンヘラインフラエンジニア、とても良いと思うけど彼氏もインフラエンジニアなら心理戦が始まるんだよな

— 🦈みょる🦈 (@suzuib) December 13, 2019

例えば、会社のネットワークから申請を行った方はどうでしょうか。恐らく社内からインターネットに出る前に設置されているサーバーやネットワーク機器のログに申請内容が平文のまま残ってしまっているでしょう。入力した氏名から会社にプライベートなインターネットの利用やメールアドレスの特定、そしてDAZNの利用が明るみになってしまった方もいるかもしれません。(スカパー社内からのDAZNへのお詫び申請の件数などは非常に興味深い結果になるのかもしれません)

一番恐ろしいのはパブリックなFree Wi-Fiを利用したケースではないでしょうか。悪意ある人物が氏名とメールアドレスを取得することによって、例えばフィッシングサイトの情報が送りつけられたり、そこでパスワードを盗み取ろうとしたり、ここで被害が発生した場合は、ゴメンで済まされないと考えます。

実際に既に申請をされて不安に思われている方がTwitterのタイムラインを見ているだけでもいらっしゃるので、DAZNは早急に対応を行うべきであろうと思います。