今月1日に民営化した旧日本道路公団3社が、16日からインターネット上で実施していた高速道路の利用に関するアンケート調査で、暗号化処理が無効のまま、1万6,712人が個人情報を含む内容を回答していたことが21日わかった。
同アンケート調査は、東日本、中日本、西日本高速道路の3社から依頼を受けた高速道路技術センター(東京都千代田)が、今月16日から28日まで実施しているもの。サイト上には、通信情報の暗号化と組織の実在性を証明するベリサイン社のセキュアシールが掲載されていたが、「https」で始まるアドレスはなく通常の「http」の設定であったため、SSL(Secure Sockets Layer)暗号化通信が機能していなかった。
アンケート調査の管理・運営会社が21日に気づき設定し直したが、同日午前10時35分までの間に1万6,712名が、住所、氏名、年齢、性別、車のナンバー、高速道路の利用状況などを回答していたという。
発表文では、データ流出の事実は確認されていないが、対象者には早急に連絡し事情説明と謝罪をするとしている。
【解説】
SSL通信には、暗号化により通信が途中で盗聴されないように保護する役目と、ユーザーにサーバの正当性を確認する手段を提供する役目がある。運営側の初歩的な設定ミスにより、これが無効になっていたということは、盗聴のリスクがあっただけでなく、フィッシングサイトに誘導されてもわからなかったということでもある。各社のサイト等に掲載されているアンケート調査協力の呼びかけをクリックすると、何の予告もなくそれらしいサイトに飛ばされる。そこで1万6千人ものユーザーが何の疑いもなく個人情報を入力していたことになる。同サイトは現在、暗号化こそ有効になったものの、ユーザーが正当なサイトであることを確認する方法も、確認を促す案内も掲載されていない。セキュリティに対する認識の甘さが懸念される。
(2005/10/24 ネットセキュリティニュース)
■高速道路におけるアンケート調査に関するお詫び(東日本、中日本、西日本高速道路)http://census.extec.or.jp/index3.asp
■平成17年度 道路交通センサス 高速道路ご利用者アンケート(高速道路技術センター)http://census.extec.or.jp/