6月4日に開港したばかりの静岡空港の公式サイトに虚偽情報が掲載されていたことがわかった。実際は削除し忘れたテストページだったのだが、ネット掲示板で発見されて話題になり、大手新聞社が記事にする騒ぎになった。
情報はすぐに削除され、個人情報の漏えいなどもなかったが、小さな不注意がセキュリティ上のトラブルにつながる怖さを教えてくれる事例だ。発端となったネット掲示板の書き込みから、その経緯をたどってみると。
【発覚の発端はリンク切れ】
ネット掲示板で虚偽情報が話題になったのは6月30日。同公式サイトのフライトスケジュールが国内線も国際線もリンク切れになっていたことを嘆く書き込みが発端だった。困ったユーザーが、リンク元ページの「index.html」を取ってアクセスしてみると、ディレクトリ一覧が丸見えになっていた。中にあるファイルを開いてみると、「ツアー代金が8割引き」などの「面白い」ページがいろいろ見えてしまった。
「これ見えちゃまずいんじゃないの、面白かったけど」というコメントで示されたページには、「今月中に加入された方は、ツアー代金が8割引に、開港までに加入された方は半額に」などと書かれてあり、また「チベットへ臨時便が運行します」「今すぐ、下記代理店にお電話を」と書かれたページには、「チベット人民旅行社」「大世界平和物産」として、それぞれの電話番号が示されていた。この電話番号は、掲示会社のものではないが、実在する電話番号だったという。
【発覚後の対応】
当該サイトは、アーティス(本社:静岡県浜松市)が静岡県から委託を受けて制作した。虚偽情報のページは、4月22日に同社がホームページ更新講習会を開いた際に、受講した県職員3人が試しに作ったものだった。本来なら削除されるべきものだが、5月中旬の公式ホームページオープン後もこのテストページが外部から閲覧可能な状態のまま、サーバーに残っていた。
ネット掲示板に書き込みがあった翌7月1日、県が同社に連絡。同社は当該ページを削除するとともにリンク切れを修正し、ディフォルトページがない場合にディレクトリ一覧が表示されないよう修正した。
県が危惧した個人情報の流出はなく、また記載されていた実在の電話番号にも問い合わせの電話などはなかったという。
【何が問題だったのか】
問題は2つある。1つは、本番サイトを使って公開状態のままテストページを作り、職員講習まで行ってしまったこと。これらのことは、なんらかのアクセス制御が行われ、一般からはアクセスできない非公開のテストサイトでなされるべきだった。もう1つの問題は、本番のコンテンツを入れる前に、テストページの削除がなされなかったこと。
どちらも常識的な基本事項だが、セキュリティのトラブルは基本事項が守られないことから始まることが多い。
(2009/07/06 ネットセキュリティニュース)
■富士山静岡空港ホームページへの虚偽情報記載報道について(アーティス)
http://www.artisj.com/