発表内容の脇の甘さ(0)〜まずは情報の整理から
まず,これを一連のインシデントレスポンスとして見た場合,かなりダメな部類に入る.
まず,時系列に並べられる事実のみを以下に抜き出してみよう.
- 4/23 17:00 決済代行会社からカード情報の流出懸念に関する連絡
- 4/23 22:00 DBサーバからクレジットカード情報削除
- 4/23 23:00 クレジットカードを預からない運用に切り替え
- 4/24 Payment Card Forensics株式会社(以下PCF)に調査依頼の連絡
- 4/26 PCF株式会社による調査開始&脆弱性調査
- 5/21 最終報告書提出(PCFからXCOMGLOBALへ)
- 5/27 おわび公表