企業から顧客へのファイルの受け渡しに潜む脆弱性


これは、アイホンから顧客へ工事関係書類を送付する時のやりとり。

アイホンが管理する外部サーバーに資料を預けて、IDとPWを伝えてアクセスしてもらう。期限が過ぎたら、画像のように無効にされる。

メアドを確認して直接送付しても良いが、ファイル量が多い時はクラウドに預けるのが今風かな。


このアプローチの問題点

(1)不特定者の介在

機微情報ではないから神経質になる必要はないが、確立された手法と勘違いして重要情報のやり取りもこの手順を踏むのは問題。

IDとPWを本人以外に託していること。転送扱いで良しとされた情報は何回転送リレーされるか分からない。想定外の人が閲覧している可能性がある。

相手がクラウドにアクセスすることを前提しているなら、電子的コミュニケーションが可能な環境にいると考えられるから、メアドかSMSアドレス(携帯番号)を入手してそこへ直接案内すべきだろう。

(2)ネット詐欺との混同

いきなりパスワード型URLを連絡しているが、これはネット詐欺と類似した方法でうっかりクリックはしないのが今の常識。訳の分からないURLをクリックして、「契約有り難うございました」などとメッセージが出てきても困る。

-

感覚的には世間が企業に求めるレベルからすると数年のビハインドに見える。



アクセスエラー画面:




401 Authorization Required


URLもしくはID/パスワードが間違っています。メール記載の情報をご確認下さい。

URL / ID / password you entered is incorrect. Please check the information contained in e-mail.

URL/ ID /密码,您是不正确的。请在电子邮件中包含的信息




案内メール:

xxx様 よりファイルをお預かりしています。
下記のURLからファイルのダウンロードを行って下さい。

|送信者     | アイホン株式会社 xxx
|添付ファイル数 | 1
|有効期限    | 2019-07-xx
|説明      |
xxx

お世話になります。アイホンのxxxxxです。

標題物件につきまして、xxx様への工事案内をお送り致しま
す。へご案内をお願いいたします。何卒、宜しくお願い申し上げます。

https://z8889.intelligent-folder.jp/Z8889/transient/t0000/t0000/・・・(暗号化URL)

* IDとパスワードは別のメールにてお知らせします。
* 有効期限翌日以降はアクセスできません。

以上、よろしくお願いいたします。



ところで、このインテリジェントフォルダってどんなものだろう?


<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

人気の投稿:年間

人気の投稿