ZAPAnet総合情報局 > ZAPAブログ2.0 > やずやも、プロの脆弱性対策

やずやも、プロの脆弱性対策

2010年04月25日 雑記


株式会社やずやが、選考落ちした学生を対象に敗者復活戦として、YouTube上に大学名および氏名を記載し「やずやへの思い」動画をアップロードさせているという話があり話題になりました。
「株式会社やずや」は選考に落ちた学生に対して、敗者復活戦をさせてくれる会社である。
その課題は何と「やずやへの思い」を氏名、大学名を記載の上でyoutubeにアップするというもの。
youtubeで「やずやへの思い」って調べたらすぐ出てきた。

やずやの採用試験ブラックすぎワロタwwww - (´A`)<咳をしてもゆとり

その後、火消しのためにすぐにやずやが動きました。

やずやは見事な「プロの脆弱性対策」を実施していました。

1.やずやトップページ株式会社やずやトップページニュースリリースページから、お詫びのPDFへのリンクを掲載せず、問題があったことを極力隠しています。もちろん、HTMLでのテキストページは作らず、検索避けしやすいようにPDFファイルで作られています。PDFのタイトル名は「osirase.pdf」。PDFの作りも、一番上の見出しが大きくなっておらず、その上表記方法が「You Tube」という「YouTube」にわざわざスペースを付けて、検索等で問題が発見されにくいように細工されています。


2.問題を知っている人以外には、何が起きたのかわからないように文章が作られています。
本日は弊社の採用活動における再チャレンジ制度について一部書き込みサイト等で報道されたことについてご説明させていただきます。
どんな問題が起きたのか一般の人にはわかりくいようになっています。


3.責任は他人に押しつけ、自分が被害者であることをアピールしています。
しかしながら画像の一部が一般公開のページにアップされてしまい、すぐに削除依頼をしたのですが、第三者がそれをコピーして再度ウェブ上にアップしてしまい、今回のようなことになってしまいました。
第三者がコピーしたのが原因で、自分たちは被害者であることを強調しています。また、本来アップロードさせたのは「動画」であったのにもかかわらず、「画像」という単語を使い、「ちょっと画像が外部に漏れた」程度であるよう見せかけ、実害が少ないように見せています。


4.学生だから仕方ないという、イメージを植え付けています。
非公開のご案内はしていたにもかかわらず、使い慣れた社会人と、そうでない学生への配慮が欠けていたのが今回の一番の原因です。
社会人と学生では違うから仕方ないよね、という同情を誘う文章になっています。


もう一度、「プロの脆弱性対策」を振り返ってみましょう。
・できるかぎりスルーし、事実を表に出さない
・スルーしきれなかった場合は控えめにアナウンスし、実害がないor少ないことを強調する。外部からの指摘だったことは極力隠し、運営者が自ら発見したか のような印象を与えるように努める
・被害の発生を認めざるを得ない場合は正直に報告するが、自分も被害者であるということを強調する。通常の手段では防げない高度な攻撃であったという印象 を与え、被害を受けても仕方なかったという印象を与えるように努める

今回のやずやでも、見事にプロの脆弱性対策が取られていました。


続きなぜやずやはYouTubeに動画をアップロードさせたのか