「i モード EC サイト個人情報流出事件」ではなにがおきたのか? | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.24(金)

「i モード EC サイト個人情報流出事件」ではなにがおきたのか?

製品・サービス・業界動向 業界動向

 1月7日夜に発生した「iモード EC サイト個人情報流出事件」(多数の iモード EC サイトで個人情報が閲覧可能な状態になってた事件)について、弊誌の記事のままだと知人に説明する際にわかりにくいというご意見をいただいた。

多数の iモード EC 構築用CGI で個人情報が多数流出の危険(2002.1.7)
https://www.netsecurity.ne.jp/article/1/3688.html

 弊誌は、どちらかというとある程度の知識を前提としたものなので、どうしても説明も省略しがちで、専門用語や略称も説明なしで使用している。
 しかし、今回の事件では、さまざまな方にその危険性を伝える必要性があるというご意見に答えて、システム知識のない EC サイト運営者の方、経営者の方あるいは、一般利用者の方に理解しやすい形で、この事件を説明してみようと思う。


>> この事件ではなにがおきたのか?

 ドコモ社の携帯電話の iモード には、さまざまなサイトを見ることができる。その中には、iモードでショッピングができる=いわゆる EC サイトもある。通信販売の iモード版である。
 iモードのショッピングは、携帯電話で、商品情報を見ながら、その場でそのまま申し込みまで行うことができるという手軽さがあり、便利である。しかも、ほとんどのサイトは、24時間、365日、いつでも利用できる。

 ショッピングの購買=申し込みにあたっては、自分の連絡先などの情報をサイトの上で入力する必要がある。
 当然ながら、普通は、ここで入力した個人情報は厳重に管理され、決して外部にもれることはない。

 だが、今回の事件では、もれてはいけないはずの個人情報が、誰でも見ることのできる状態になっていた。
 しかも、ひとつやふたつのサイトではなく、多数のサイトで発生した。さまざまな iモード上の店で個人情報の流出がおきていたのである。


>> なにが、問題だったのか?あるいは、どんな問題がおきるのか?

 問題は、サイトの構築を行った際に発生していた。サイトを構築する際に利用したプログラムの設定をただしく行わなかったのである。
 また、このプログラムは、バージョンアップされて、新しいものがあるが、昔に構築したサイトでは、そのまま古いプログラムを使いつづけていた。

 設定が正しく行われているか、新しいプログラムを使っていれば、個人情報は無事だったはずである。

 また、付帯的な問題としては、これだけ多数のサイトで問題が発生していたにも関わらず注意喚起や報道がほとんど行わなかった。そのため、一般の iモード利用者は、この事件の存在を知らず、パソコンでインターネットを利用している一部の人々が掲示板などで情報交換を行って個人情報を盗み見していた。
 おそらく、個人情報が流出したほとんどの人は、いまだに気づいていない。気が付くのは、覚えのないメール、DM、いたずら電話など具体的な被害がおきる時である。


>> 自分の情報が安全か、どうか確かめる方法は?

 方法あるが、それを公開することができないのである。なぜなら、その方法は、そのまま第三者が流出している個人情報を盗み見る方法でもあるのだ。
 可能な確認方法は、過去にショッピングをしたことのあるサイトに確認のメールを出してみることくらいである。


>> 自分の個人情報が流出しているのを止める方法は?

 サイトの管理者に連絡して、なんとかしてもらうことしかない。もちろん、管理者が対応してくれなければ、なんともならない。
 この事件の問題は、被害者が自分でなんとかすることができないことにある。


>> サイト利用者が自衛する方法は?

 どのサイトが、危険なサイトであるかを iモード利用者が知ることは困難。もっとも確かな自衛方法は、 iモードでショッピングサイトを利用しないことくらいしかないのである。


[ Prisoner Langley ]

(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

    「Office 365」のアカウント情報が漏えいすると企業の脅威になる可能性(IPA)

  2. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. 新たにCISOを設置、SOCにCSIRTとPSIRT機能を集約し経営体制を強化(東芝)

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. イスラエルのサイバー防衛たてつけ~視察団報告

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. セキュリティ専門家がCSIRTの新規構築、既存の見直し・強化を支援(SBT)

  9. ITだけでなくOT、IoT分野のセキュリティインシデントに早期対応するSOC(日立システムズ)

  10. 自社技術とトレンドマイクロ製品で、ネットワークセキュリティの実証実験(IIJ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×