JINSオンラインショップの情報漏洩に関する最終報告が公表されました(最終報告、ITPro、slashdot日本版)。
興味深いのは事故の原因で、不正アクセスの原因として「Apache Struts2」の脆弱性があげられています。古いバージョンのStruts2が使われていたことが事故につながったということです。
システム開発および保守はベンダに一括していたそうなので、ベンダの責任が問われることになるかもしれません。
開発側/保守側からすると、古くなっていくミドルウェアのセキュリティリスクのことまで考えて、保守契約しないといけないのはなかなか大変だと思いました。
