多数の i モード EC 構築用CGI で個人情報が多数流出の危険 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.21(火)

多数の i モード EC 構築用CGI で個人情報が多数流出の危険

製品・サービス・業界動向 業界動向

〜ネットで配布されている CGI 利用者はパーミッション設定に注意を!〜

 シェアウェアの iモード用 EC サイト構築用CGI システムを導入している多くの EC サイトがパーミッションの設定ミスにより、個人情報が閲覧可能な状態になっていることがわかった。
 閲覧可能な個人情報は氏名、住所、電話番号に加えて、購入日や購入商品の推定も容易である。

 このシェアウェアは、少なく見積もっても、200以上の EC サイトで利用されており、個人情報が閲覧可能な状態になっているサイトの数は、そのうちかなりの比率になると推定される。

 一部の掲示板などでは、パーミッションミスのサイトに関する情報交換のスレッドがたっており、数多くのパーミッションミスのサイトの個人情報が閲覧されている危険性がある。

 iモードのシェアウェア EC 構築用CGI を利用している管理者は、チェックが必要である。

 この問題は、今回はたまたま利用者の多い特定の CGI で発生したが、インターネット上で配布されている CGI には、同種の問題が常に存在している。CGI そのものが配布されているということは、ディレクトリやファイル名が自由に誰でも知ることができる。そのため、個人情報などの重要な情報がどのディレクトリあるいはファイルにあるかが、特定できてしまう。
 そのファイルあるいは適切な設定がされていないと、本来見られてはいけない情報が閲覧されてしまうことになってしまう。

 インターネット上で配布されているCGI シェアウェアを利用しているサイトはパーミッション設定のチェックが必要である。

 インターネットではさまざまなサイトで CGI が配布されており、利用者は手軽に設置し、利用することが可能となっている。
 しかし、その一方で、手軽さゆえに、じゅうぶんな知識持たないあるいは注意不足な状態で設置していることも少なくない。

 過去にも単純なパーミッション設定ミスで個人情報が閲覧可能な状態になっていた事件も少なからずあった。

 個人情報など重要な情報を扱う CGI を設置する際には、じゅうぶんな注意が必要である。

*本記事は、CGI のパーミッション設定に関する注意喚起を目的としております。悪用をさけるため CGI が特定されるような部分の固有名詞は伏せてあります。
 事態が沈静化した段階で必要があれば詳細な情報を公開いたします。


関連記事(ここ1年くらいの個人情報流出事件の一部)

顧客情報流出の原因は個人情報ファイルをそのままおいていたため
(2001.7.24)
https://www.netsecurity.ne.jp/article/1/2478.html

求職者の個人情報を露呈(ITNet 社)(2001.8.9)
https://www.netsecurity.ne.jp/article/2/2627.html

島さとし議員のWebサイト、ディレクトリのパーミッションを設定ミス
(2001.12.5)
https://www.netsecurity.ne.jp/article/1/3456.html

不完全なシステムと初歩的ミス 明治乳業が顧客リスト1万件流出
(2001.10.29)
https://www.netsecurity.ne.jp/article/1/3143.html

Nimda ウィルスによって顕在化するずさんなサイト管理 利用者から公開質問状を掲載などの抗議が増加
(2001.9.23)
https://www.netsecurity.ne.jp/article/8/2873.html

JPINICのメールマガジンサービスに第三者の個人情報が閲覧できるセキュリティホール 氏名、住所、電話番号などが漏洩の危険
(2001.9.3)
https://www.netsecurity.ne.jp/article/1/2749.html

地域コミュニティサービス「COOL ONLINE」の会員データ1万件以上が外部閲覧可能な状態に
(2001.4.24)
https://www.netsecurity.ne.jp/article/1/2022.html

田沢湖町webのプレゼント応募者リストが流出
(2001.4.19)
https://www.netsecurity.ne.jp/article/1/1988.html

キーマンズネットが会員情報管理の不備で一部サービスを停止
(2001.3.19)
https://www.netsecurity.ne.jp/article/1/1815.html

サーバモンキーの亜種 CGIモンキー発見される
(2001.12.6)
https://www.netsecurity.ne.jp/article/1/3459.html


[ Prisoner Langley ]

(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

    「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

  2. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. 新たにCISOを設置、SOCにCSIRTとPSIRT機能を集約し経営体制を強化(東芝)

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. 人の動作に偽装するボットアクセスを検知(アカマイ)

  7. セキュリティ専門家がCSIRTの新規構築、既存の見直し・強化を支援(SBT)

  8. ITだけでなくOT、IoT分野のセキュリティインシデントに早期対応するSOC(日立システムズ)

  9. IoTとAIを組み込んだスマートマンション、そのサイバーセキュリティを探る(インヴァランス)

  10. 自社技術とトレンドマイクロ製品で、ネットワークセキュリティの実証実験(IIJ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×