地方都市在住の元SE、2児の母です。

「Apache Struts2 の脆弱性」

そんなのもう何年も前から口酸っぱく言われ続けているような気がするのに。

毎年一定数の人が餅を喉に詰まらせて窒息しているように。

毎年一定数のサービスが情報をぶっこ抜かれてる。

なんでなんだろ。

ましてやそれがクレカ情報を預かるGMOペイメントゲートウェイ。

多くの会社がここにクレカ情報の取り扱いを委託していることでしょう。

経産省が報告を要請したっていうけど、むしろ PCI SSC が乗り込んでくる案件じゃないかって気もする。

【セキュリティ ニュース】不正アクセスによる個人情報漏洩でGMO-PGに報告を要請 - 経産省（1ページ目 / 全1ページ）：Security NEXT

過去に

「事故」と「カッコ悪い事故」 - Hello, World

でも書いたけど、

既知の（しかもかの有名な）脆弱性を突かれて漏洩って、「かっこ悪い事故」と思ってしまうのよね…。

事故にかっこ良さやかっこ悪さを求めるのも不謹慎で失礼な話ってのはわかってるけど。

一度構築した後のメンテナンスや脆弱性のパッチあてるのは面倒だしどうしても後回しになる。委託案件だと予算付いてないのもあるだろう。

それでも、こういう「かっこ悪い事故」だけは出さないようにしたいなぁ。

仮にも4月からは国家資格「情報処理安全確保支援士（登録セキスペ）」がいる会社、ってことになる予定なわけだし。

…そういえば、

登録できましたって通知は、くるの？いつくるの？何か証みたいなのもらえるの？弁護士バッヂみたいなのもらえたりしないのかな笑ムダにかっこいいRISSのまーくのやつ笑笑

ちょっと見てみないとわからないや。