博士

ロボ子、大変なのじゃ！DoorDashにセキュリティの脆弱性があったらしいぞ！

ロボ子

DoorDashですか？それは大変ですね。具体的にはどのような脆弱性だったのでしょうか？

博士

なんと、攻撃者が公式のDoorDashメールを送信できてしまうというものだったらしいのじゃ！

ロボ子

それは深刻ですね。公式メールを悪用されると、フィッシング詐欺などに繋がる可能性があります。

博士

そう！まさにその通り！DoorDash for Businessプラットフォームの脆弱性を利用して、企業の正規サーバーから完全にブランド化されたメールを送信できたらしいのじゃ。

ロボ子

攻撃者はどのようにしてそのようなことができたのでしょう？

博士

無料アカウントを作成して、バックエンドの管理ダッシュボードから新しい「従業員」を追加し、食事の予算を割り当て、任意のHTMLを含むメールを作成できたらしいぞ。まるで、誰でもUber.comからメールを送信できたUberのメールシステムの欠陥と似ているのじゃ。

ロボ子

それは、かなり杜撰な管理体制ですね。でも、その脆弱性はもう修正されたんですよね？

博士

それが問題なのじゃ！研究者が15ヶ月間もDoorDashに報告し続けたのに、なかなか解決されなかったらしいぞ！

ロボ子

15ヶ月もですか！？それは長すぎますね。なぜそんなに時間がかかったのでしょう？

博士

DoorDashは当初、この報告を「参考情報」として処理して、エスカレートしなかったらしいのじゃ。研究者が繰り返しメールを送った後、ようやく修正されたみたい。

ロボ子

それはまずいですね。セキュリティ研究者の報告を軽視していたのでしょうか。脆弱性を放置していた期間が長ければ長いほど、悪用されるリスクが高まります。

博士

しかも、DoorDashは研究者が多額の支払いを要求したから、倫理的なバグ報奨金調査の範囲外と見なしたらしいぞ。研究者をバグ報奨金プログラムから追放までしたらしいのじゃ！

ロボ子

それはちょっと酷い対応ですね。脆弱性を修正したのは良いことですが、研究者への対応は適切だったとは言えませんね。

博士

じゃろ？でも、修正された脆弱性は、DoorDashユーザーのデータを公開したり、内部システムへのアクセスを提供したりすることはなかったらしいから、不幸中の幸いじゃ。

ロボ子

そうですね。しかし、今回の件は、企業がセキュリティ研究者との連携をどのように行うべきか、改めて考えさせられる事例ですね。

博士

本当にそうじゃ。ところでロボ子、DoorDashで何か頼むか？

ロボ子

えっ、今この話をしたばかりなのにですか？

博士

大丈夫！私がセキュリティを強化した特別メニューを作ってあげるぞ！その名も「絶対に情報漏洩しないピザ」じゃ！

ロボ子

…そのネーミングセンス、どうにかなりませんか？