個人情報保護法が施行された2005年以来、毎年、千数百件(編集部調べ)のペースで事故が公表され、報道されている。ピークは事故件数が2000件近くにまでのぼった2007年で、以後減少に転じてはいるものの、まだまだ後を絶たない困った状況が続いている。
書類やパソコン、メモリーなど、個人が持つ「モノ」の盗難や紛失では、流出によって実害が発生する可能性はかなり低い。モノが人手に渡ったとしても閲覧者は限られており、悪用を狙った窃取でもない限り、悪人の手に渡る可能性は低いものだ。ところが、これがネット上への流出となると話が一変する。
不特定多数が簡単に入手できてしまうネット流出では、悪人の手に渡ってしまう危険もそれだけ高くなる。また、それと同じくらい、時にはそれ以上に怖いのが、祭り好きなネットの住人たちの恰好のネタにされてしまうことだ。特に、流出物が興味をひく内容だったり、流出元が大手だったりすると大変だ。一目見ようと集まって来た野次馬たちが、大騒動を巻き起こしてしまう。最近起きた、そんなネット流出事件を5件、ご紹介する。
<INDEX>
【ファイル1:メッセサンオー】
URLにアカウント情報を直接埋め込む危険な管理システム事件
事件の概要/事件の原因/ユーザー心得/管理者心得
【ファイル2:エン・ジャパン】
認証なしで個人専用ページを開く秘密のURL事件
事件の概要/事件の原因/ユーザー心得
【ファイル3:やずや】 事件
自己PR動画をYouTubeに投稿させようとする不審な要求事件
の概要/事件の原因/ユーザー心得
【ファイル4:ユニクロ】
フィッシングまがいのキャンペーン事件
事件の概要/事件の問題点/ユーザー心得
【ファイル5:日本大学】
話題になるほどに悲惨な結末が待っているウイルス感染事件
事件の概要/事件の原因/ユーザー心得
URLにアカウント情報を直接埋め込む危険な管理システム事件
<事件の概要>
4月1日夜、ゲームや同人誌などを販売するメッセサンオーの顧客情報が、 Googleのキャッシュで閲覧できるとネット掲示板で話題になっていた。 キャッシュされていたページは約5000ページ、1000人余りの顧客情報が閲覧可能だった。 ほどなくして、販売システム上に1月頃の注文履歴1405件(1217人分)を保存したCSVファイルが、 削除されないまま直接閲覧可能な状態で残っているのも発見された。流出したユニークな顧客数は、 計2024人分(編集部の調査では2069人分)。流出情報には、個人情報やアカウント情報に加えて、 アダルトゲームなどの購入履歴まで含まれていたため、ネットの祭りは一気にヒートアップしてしまった。
翌4月2日、流出中にもかかわらずネットメディアが相次ぎ報道を始め、祭りに拍車をかけた。 「メッセサンオー」のGoogle検索は急上昇し、このキーワードによる検索の過去最大値をマークした。 この日の夕方にWebに掲載された読売新聞の記事では、Googleのキャッシュに残っている情報と、 直接閲覧可能だったがキャッシュされずに済んだCSVファイルとを混同してしまったようで、 流出したCSVファイルがサイトのコピーを保存する「ウェブ魚拓」で保存・公開され、さらに拡散しているという情報を流してしまう。 「魚拓」のキーワード検索が急上昇した。CSVファイルはとっくに削除され、閲覧できなくなっていたが、 「魚拓」の処理はまだ行われておらず、「魚拓」削除手続きがとられたのは、その日の夜だった。
<事件の原因>
メッセサンオーが使用していた通信販売システムは、ログイン時のIDとパスワードを、直接URLのパラメーターに埋め込む仕様の危険なシステムだった。 顧客管理の際のURLが何らかの原因でGoogleの知るところとなり、その結果、3月23日頃から顧客管理画面のページが大量にキャッシュされてしまった。 キャッシュされたページは、4月3日にはほぼ閲覧できなくなったが、インデックスはその後も1週間ほど残っており、検索可能な状態が続いた。 個々の顧客の管理ページは、顧客のIDに相当するメールアドレスとパスワードをURLのパラメーターに埋め込んでいたため、 インデックスが消える4月11日まで、メールアドレスとパスワードの丸見え状態が続いた。
<ユーザーの心得>
今回は、カード情報などの流出はなかったが、メールアドレスとパスワードがセットで流出したという点に敏感に反応しなければいけない。 同じ組み合わせで使用しているサービスが、不正アクセスを受けるかもしれないのだ。 このようなことが起きた場合には、直ちにパスワードの変更を行う。 メールアドレスを登録したサービスのパスワードに、そのメールアカウントのパスワードと同じものを使用するという危険なことは、していないだろうか。 まさかとは思うが、念のため注意を喚起しておきたい。
<管理者の心得>
URLは、ブラウザの履歴やキャッシュ、リファラ、アクセスログなど、さまざまなところから流出する可能性がある。 広く知られる前に処置できたため騒ぎにはならなかったが、北海道教育大学が4月21日に公表した学生61名の個人情報流出もまた、 認証情報を埋め込んだURLが検索サイトに拾われたために起きた、同様の事故だ。 URLは、いつ、どこから漏れるか分からない。そのような性格のURLに、認証情報などの秘密の情報を埋め込んでしまうシステムは、 原則、使わないように心掛けていただきたい。 どうしても使用しなければならない場合には、URLの流出に細心の注意を払おう。
<関連URL>
・個人情報流出に関するお詫びとこれまでのお知らせにつきまして(メッセサンオー)
http://www.messe-sanoh.co.jp/
・個人情報流出についてのお詫び(北海道教育大学)
http://www.hokkyodai.ac.jp/hotnews/hotnews_details.php?id=599
・北海道教育大学教育学部札幌校における個人情報の流出について(お詫び)(北海道教育大学)http://www.hokkyodai.ac.jp/sap/topics/index.html?id=97
・セキュア・プログラミング講座:クエリストリングから情報が漏れる(IPA)http://www.ipa.go.jp/security/awareness/vendor/programmingv1/a01_04.html
認証なしで個人専用ページを開く秘密のURL事件
<事件の概要>
メッセサンオーと同じような事故は、5月末にも起きている。 5月23日夕方、就活サイトの「エン・ジャパン」が提供し、 ウィルソン・ラーニング ワールドワイドが運用していた採用管理システム 「EmPro-Aid First」のエントリーフォームの一部が、Google経由で閲覧できるとネット掲示板で話題になった。 流出したのは、エントリーした学生9名分(当事者発表)の氏名や学校名、学部や学科名、メールアドレス、電話番号、志望動機など。 翌日早々に対処された上、人数も致命的な情報も少なかったため大騒ぎにはならなかったが、 それでも、該当者をネット上で探し回るプチ祭りが展開された。
<事件の原因>
このサービスでは、各応募者に個別のパラメーターを付けたURLを生成し、 各自専用のページに案内するメールを送る仕様になっていた。 このURLを使用すると、認証なしで当人専用のエントリーフォームにアクセスできてしまうのだが、 当人には、公開してはいけない秘密のURLであることは知らせておらず、 汎用のエントリーページの案内と思われても仕方のないものだった。 案の定、何人かが掲示板やブログなどで公開してしまい、それが検索サイトに拾われて登録されてしまった。 URLの有効期限も特になかったようで、そのURLを使えばエントリー後のページに誰でもアクセスできるという、 困った状態になっていた。
<ユーザーの心得>
意味不明なパラメーターが付いたURLの中には、それを使うと誰でも個人の専用ページが開ける特別なURLがある。 そのURLを使うと、ログインしなくてもそのページにアクセスできる(ログアウトしてクッキーを削除し、 携帯の簡単ログインも設定していない状態でもアクセスできる)。 そこで、あなた個人の情報や公開されるはずのない入力情報などが閲覧できてしまう。 このようなURLは、決して公開してはいけない秘密のURLだと思って慎重に扱おう。 できたら、そのような秘密のURLを使うサービスに、秘匿情報を渡すのは避けよう。
また、意味不明なパラメーターが付いたURLの中には、ログインしたあなたにしかアクセスできないものや、 一定の時間が経つと誰もアクセスできなくなってしまうものもある。 このようなタイプのURLを教えてもらっても役には立たないので、ブログなどで公開しようと考えている方は、 逆の意味で扱いに注意しなければいけない。
<関連URL>
・情報漏洩に関するお知らせおよび今後の対策について[PDF](ウィルソン・ラーニング ワールドワイド)
http://www.wlw.co.jp/pdf/EmPro.pdf
・情報漏洩に関する調査結果及び今後の対策について[PDF](エン・ジャパン)
http://corp.en-japan.com/IR/pdf/100524jyouhourouei2.pdf
自己PR動画をYouTubeに投稿させようとする不審な要求事件
<事件の概要>
4月初め、健康食品通販「やずや」の来年度の採用試験を受け、選考から漏れてしまった一部学生のもとに、 「再チャレンジの場を設けます」というメールが届いた。 同社への思いを動画に撮ってYouTubeにアップロードするように、との内容だった。 YouTubeには、非公開で動画を投稿し、特定の相手だけが見られるようにする機能がある。 それを使い、氏名と大学名を記載した自己PRの動画を投稿させ、それを見て再選考しようという企画だ。 ところが、これがとんだハプニングを招く結果となる。 再チャレンジ企画にのった学生のひとりが、動画を普通に投稿してしまったため、 世界に向けて大公開してしまったのだ。
4月24日未明、ネット掲示板で公開されている学生の動画が話題となり、昼夜を問わないネット上の祭りが始まる。 就職希望者にこのようなことをさせる会社への非難と、投稿された動画の品定めが、ネットの住民の話題の中心だった。 土曜日の未明という最悪のタイミングで火がついてしまったため、対処する間もなく拡散が始まる。 本人が投稿した動画は週明けを待たずに、その日のうちに削除されたものの、すでにあちらこちらにコピーされた後だった。
<事件の原因>
公開が前提のシステムは、一般に最少の手続きで公開できるように設計されている。 このようなシステムで秘密情報を扱えば、いつ事故が起きても不思議ではない。 また、自己の管理下にないサービスを使用すれば、非公開にするための特別な操作や事故が起きた場合の処置といった、 情報を安全に扱うための重要なコントロールを、全て相手の手にゆだねなければならなくなってしまう。 YouTubeに秘密の情報を投稿させるのは、事故を招く危険な要求であるという認識に欠けていたのが、最大の原因といえるだろう。
<ユーザーの心得>
要求する側は、できるだけ相手が何もしなくても安全に事が運ぶように、あらかじめお膳立てをしてあげなければいけない。 要求を受ける側は、今回のような要求に対して「それはおかしい」という疑問が持てるようにスキルを積もう。 求職者という立場では、不信感を訴えるところまでは難しいかもしれないが、おかしな要求に対して不信感を持つことができ、 慎重に行動できるようになることが重要だ。
先頃、偽造免許証でクレジット契約を結び、商品を騙し取っていた詐欺団が摘発された。 この詐欺団は求人広告を出して架空の面接会を開き、身元確認などと称して求職者に運転免許証を持参させ、 スキャナーでパソコンに取り込んでいた。取り込んだ画像の写真を入れ替えて、詐欺に使う運転免許証を偽造していたのだ。 相手の要求をうのみにせず、どこかで不信感が持てれば、このような事態も防げるかもしれない。
<関連URL>
・You Tubeを利用した再チャレンジ制度について[PDF](やずや)
http://www.yazuya.com/kyujin/osirase.pdf
フィッシングまがいのキャンペーン事件
<事件の概要>
5月24日、ユニクロは26周年を記念した「ユニクロ誕生感謝祭」のキャンペーンサイトをオープンし、Twitterと連動したキャンペーンを開始した。 キャンペーンサイトでTwitterのアカウントを入力し、つぶやくと、バーチャルな行列に参加でき、 千円分のオンラインクーポンなどがもらえるという企画だ。
「入力したアカウントが、第三者のサイトに暗号化もせずに送られている」そんなつぶやきが翌日早々にあり、 これが大きな波紋を巻き起こす。送信先のサイトから、Twitter IDやつぶやきの一覧ファイルが見つかり、 パスワードも漏れているのではないかという噂が、一気にネット上に広がって行った。 翌26日、同社が出したパスワードの保存や流出を否定するコメントで、この件は終息したが、挙動不審なキャンペーンに終始した感は否めない。 また、あらぬ疑いをかけられたサーバーのホスティング会社「S2Factory」も困惑し、ホスティング環境を提供しているだけで、 それ以外は一切関与していないとのコメントを出すほどだった。
<事件の問題点>
Flashで作られたキャンペーンサイトは、ユニクロの公式サイト上にあるように見えるが、 実体は外部のサーバーに置かれており、やりとりは全てこの外部サーバーと行っていた。 発見された一覧ファイルも、このキャンペーンサイトが読み込んで表示する内容だけを記録した問題のないものだったのだが、 事前にそういったことわりは一切なかった。 プレゼントをダシに無関係なサイトのアカウント情報を求め、本体が「uniqlo-happy-line」のサブドメインで始まる非SSL接続の第三者のサイトにあるとなれば、 間違いなくフィッシングサイトだろうと我々は推定する。 そういうフィッシングまがいのキャンペーンだったのだ。
指摘されたSSLに関しては、26日に急きょ対応したものの、アカウント情報のやりとりだけを暗号化すればよいと勘違いしたらしく、 コンテンツそのものは相変わらず非SSL接続のままだった。 Flash内の通信をSSLにしても、ブラウザ上からは全く分からないし、サーバー証明書も確認できない (確認できても同社の正規サイトであることまでは分からない証明書だったが)。 キャンペーンサイト上には、「ここで入力された情報の通信はSSLにより暗号化されております」と書かれていたが、 これもまた、フィッシャーが好んで使う手口である。
<ユーザーの心得>
銀行やクレジットカードがらみのフィッシングが多いのは相変わらずだが、 最近は、TwitterやFacebookのアカウントを狙うフィッシングも大流行している。 手口はさまざまだが、ポーカーゲームのチップがもらえるとか、iPodやiPhoneが手に入るとか、 物で釣ろうとするタイプも非常に多い。 今回のユニクロキャンペーンは怪しいものではなかったが、同じ手口のフィッシングは日常茶飯事なのだ。 日本語圏のユーザーを狙うものはめったにないが、くれぐれも引っかからないよう用心していただきたい。
今回のキャンペーンでは、良くも悪くものべ13万7000人ものユーザーが集まった。 おそらくは、ブラウザ上で同社のサイト内にキャンペーンサイトがあるように見えたのが勝因だったのだろう。 が、見た目を信じてはいけない。同じ時期に「vniqlo.com」や「uniqb.com」で 似たようなフィッシングが展開されていたら、どうなっていただろう。正規のサイト以外では決してアカウントは入力しない。 他社のアカウント入力を求めるようなキャンペーンは行わない。これが基本だ。
<関連URL>
・UNIQLO LUCKY LINEに関するお知らせ(ユニクロ)
http://www.uniqlo.com/jp/corp/pressrelease/2010/05/052615_uq_web.html
・iPadのレビューに参加しようとしてフィッシングの被害に!(ビットディフェンダー)
http://www.bitdefender.jp/20100607.php
話題になるほどに悲惨な結末が待っているウイルス感染事件
<事件の概要>
ウイルス感染によるファイル共有ソフトを介した情報流出については、 6年間に渡って「これでもか」というほどお伝えして来た。 3月のトピックス「痛恨の個人情報流出」でも、筆頭に挙げたが、その後も相変わらずの状態が続いている。
4月25日未明、日本大学の職員の自宅のパソコンがウイルスに感染。 3月まで在職していた同大医学部付属病院関係の情報や、前日に持ち帰ったばかりの人事部の内部資料など、 1万3964件のファイルがファイル共有ソフトShareのネットワーク上に流出した。 流出情報の中には、職員らの名簿1万3700名分や、医学部附属看護専門学校の学生情報76名分なども含まれていたが、 興味の対象になってしまったのは、プライベートな写真やメールと職員の懲戒処分記録だった。 異様なほどの盛り上がりと個人攻撃がえんえんと続いていた。
<事件の原因>
直接の原因がウイルス感染であることはいうまでもない。 しかし、流出しては困る職場の情報を自宅に持ち帰り、あろうことかそれを、 何の保証もない不審なファイルを次々にダウンロードして開いてしまうようなパソコン (ファイル共有ソフトがインストールされているパソコン)に入れてしまうとは。 こんな無謀な行為がいまだに行われているということに、ただただ驚き呆れるばかりだ。
<ユーザーの心得>
ファイル共有ソフトは「使うな」「ユーザーになるな」としか言いようがないのだが、 それでもユーザーでいたい中毒患者は、せめて流出しては困る情報から隔離したパソコンで行ってほしい。 ファイル共有ソフトを使うだけならば、新品でも数万円で、中古なら数千円からの投資で、隔離環境を手に入れることができる。 ファイル共有ソフトは使い方を一歩間違えれば、人生を棒に振ることにもなりかねない。 それを防止するための保険は、こんなにもリーズナブルなのである。
<関連URL>
・4/28:個人情報を含む日本大学内部情報の流出について(お詫び)(日本大学)
http://www.nihon-u.ac.jp/tagblocks/top/news/pickup/0000001054.html
・5/10:個人情報を含む日本大学内部情報の流出について(中間報告)(日本大学)
http://www.nihon-u.ac.jp/tagblocks/top/news/pickup/0000001068.html
・6/11:個人情報を含む日本大学内部情報の流出について(中間報告2)(日本大学)
http://www.nihon-u.ac.jp/tagblocks/top/news/pickup/0000001115.html
(執筆:現代フォーラム/鈴木)