「i モード EC サイト個人情報流出事件」ではなにがおきたのか? | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.26(火)

「i モード EC サイト個人情報流出事件」ではなにがおきたのか?

製品・サービス・業界動向 業界動向

 1月7日夜に発生した「iモード EC サイト個人情報流出事件」(多数の iモード EC サイトで個人情報が閲覧可能な状態になってた事件)について、弊誌の記事のままだと知人に説明する際にわかりにくいというご意見をいただいた。

多数の iモード EC 構築用CGI で個人情報が多数流出の危険(2002.1.7)
https://www.netsecurity.ne.jp/article/1/3688.html

 弊誌は、どちらかというとある程度の知識を前提としたものなので、どうしても説明も省略しがちで、専門用語や略称も説明なしで使用している。
 しかし、今回の事件では、さまざまな方にその危険性を伝える必要性があるというご意見に答えて、システム知識のない EC サイト運営者の方、経営者の方あるいは、一般利用者の方に理解しやすい形で、この事件を説明してみようと思う。


>> この事件ではなにがおきたのか?

 ドコモ社の携帯電話の iモード には、さまざまなサイトを見ることができる。その中には、iモードでショッピングができる=いわゆる EC サイトもある。通信販売の iモード版である。
 iモードのショッピングは、携帯電話で、商品情報を見ながら、その場でそのまま申し込みまで行うことができるという手軽さがあり、便利である。しかも、ほとんどのサイトは、24時間、365日、いつでも利用できる。

 ショッピングの購買=申し込みにあたっては、自分の連絡先などの情報をサイトの上で入力する必要がある。
 当然ながら、普通は、ここで入力した個人情報は厳重に管理され、決して外部にもれることはない。

 だが、今回の事件では、もれてはいけないはずの個人情報が、誰でも見ることのできる状態になっていた。
 しかも、ひとつやふたつのサイトではなく、多数のサイトで発生した。さまざまな iモード上の店で個人情報の流出がおきていたのである。


>> なにが、問題だったのか?あるいは、どんな問題がおきるのか?

 問題は、サイトの構築を行った際に発生していた。サイトを構築する際に利用したプログラムの設定をただしく行わなかったのである。
 また、このプログラムは、バージョンアップされて、新しいものがあるが、昔に構築したサイトでは、そのまま古いプログラムを使いつづけていた。

 設定が正しく行われているか、新しいプログラムを使っていれば、個人情報は無事だったはずである。

 また、付帯的な問題としては、これだけ多数のサイトで問題が発生していたにも関わらず注意喚起や報道がほとんど行わなかった。そのため、一般の iモード利用者は、この事件の存在を知らず、パソコンでインターネットを利用している一部の人々が掲示板などで情報交換を行って個人情報を盗み見していた。
 おそらく、個人情報が流出したほとんどの人は、いまだに気づいていない。気が付くのは、覚えのないメール、DM、いたずら電話など具体的な被害がおきる時である。


>> 自分の情報が安全か、どうか確かめる方法は?

 方法あるが、それを公開することができないのである。なぜなら、その方法は、そのまま第三者が流出している個人情報を盗み見る方法でもあるのだ。
 可能な確認方法は、過去にショッピングをしたことのあるサイトに確認のメールを出してみることくらいである。


>> 自分の個人情報が流出しているのを止める方法は?

 サイトの管理者に連絡して、なんとかしてもらうことしかない。もちろん、管理者が対応してくれなければ、なんともならない。
 この事件の問題は、被害者が自分でなんとかすることができないことにある。


>> サイト利用者が自衛する方法は?

 どのサイトが、危険なサイトであるかを iモード利用者が知ることは困難。もっとも確かな自衛方法は、 iモードでショッピングサイトを利用しないことくらいしかないのである。


[ Prisoner Langley ]

(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. 「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

    「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

  5. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  6. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  7. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  8. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  9. アジア以外ではランサムウェアの検出数が前年の2倍に、脅威の進化も(チェック・ポイント)

  10. ディープラーニングを採用したイスラエルのエンドポイント保護製品を発売(アズジェント)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×