1月7日夜に、多数の iモード EC サイトで個人情報が閲覧可能な状態になっていることが発見された。 多数の iモード EC 構築用CGI で個人情報が多数流出の危険(2002.1.7) https://www.netsecurity.ne.jp/article/1/3688.html 弊誌では、深夜、ニュースとして報道するとともに、IPA(情報処理振興事業協会)、EC サイトのCGI配布サイト(問題が沈静化していないため CGI の特定をさけるため、サイトの名称は伏せさせていただきます)に連絡した。なお、弊誌の配布先には、政府関係機関も含まれている。 その結果、CGI配布サイトでは翌日午前中に、注意喚起の告知が掲載された。(迅速なご対応ありがとうございました) IPAおよび行政関係機関では、特に注意喚起はなかった。 弊誌では、200以上の iモード EC サイトが個人情報流出の危険性をはらでいることは、重大な危険性と判断したが、行政ではそのようには認識していなかったらしい。 行政のセキュリティ関連の注意喚起の流れについては、すでに、本誌でのべたことがある。 抜粋:大量無差別攻撃に無防備なサイバーテロ対策 その2(2001.10.30) https://www.netsecurity.ne.jp/article/7/3147.html「CodeRed 、Nimda のような事件の時の情報収集、整理・分析、対策発信・徹底という3つの段階でみてみる。 主として「情報収集」の部分を担っているのはIPAなど経済産業省の外郭団体と考えられる。IPAなどの収集した情報は、内閣官房情報セキュリティ対策推進室で整理され、各種公的機関に対して配信される。 実際には、情報収集ルートは、jpcert(経済産業省が資金支援)など他にもあるし、軍事評論家として著名な 江畑 謙介氏が参加する情報セキュリティ調査会などもあるのだが、単純化するとこんな感じではないかと考えられる。」 なぜ、行政は、情報を得ていながら、なにもしなかったのだろうか? これでは、以前「大量無差別攻撃に無防備なサイバーテロ対策 その1(2001.10.29)」で書いたように「日本におけるサイバーテロ対策は、決して中小企業やSOHO、個人を守ってはくれない」ことを実証しているようなものではないか。 大量無差別攻撃に無防備なサイバーテロ対策 その1(2001.10.29) https://www.netsecurity.ne.jp/article/7/3144.html>> どこでもやってるウィルス情報の注意喚起は行って、個人情報流出の危険性をなぜ見過すのか? 行政がわざわざ注意喚起を出すのは、きわめて重大な危険が社会におよんでいる時に限られるという見方もできないわけではない。 しかしながら、最近の注意喚起を見る限りでは、とてもそうは思えない。 これらの注意喚起は、さまざまな行政機関経由で流れているため、組織によって同じ注意喚起が総務省からくるケース、内閣官房から来るケースなどがある。 【重要】Internet Explorerのセキュリティホール等について (NMT.net に掲載されている注意喚起) http://www.nmt.ne.jp/information/info/20011225_1.html 【重要】コンピュータウイルス(GONER)について (NMT.net に掲載されている注意喚起) http://www.nmt.ne.jp/information/info/20011207_1.html この注意喚起が配信された時には、いくらでも他で情報は配信されていた。 アンチウイルスソフトのファイルを削除する「Goner」が発見される (2001.12.5) https://www.netsecurity.ne.jp/article/8/3454.html 確かにウィルス情報は重要であるが、いくらでも他で入手できる情報である。しかも情報を流すことがアンチウィルスベンダの企業利益につながるので、民間企業が情報提供することができる。 ようするに、民間企業でじゅうぶんに対処可能で、現実に対処されている注意喚起を行っているのである。 個人情報の流出は、被害を受けるのは、ネットショップ利用者の個人である。今回の事件では、個人で自らを守る方法ない。もちろん、こうした情報を流すことで製品販売促進を期待できる企業もない。 このような時こそ行政の出番だと思うのだが、それは違うのだろうか?「どこでも入手できる情報だけ出していれば、あとで間違いやクレームの来ることが少ない」ことがどこでも入手できる情報ばかり流す理由とは考えたくない。個人の財産や身体を守るための活動なのである。いまこそ行政の真価を発揮して欲しい。 蛇足かも知れないが、「GONER」の注意喚起では、特定のアンチウィルスベンダの社名と URL を明記している。民間企業の宣伝をするなとかいうつもりは、毛頭ない。対処のために必要な情報であれば、民間企業へのリンクもどんどん貼るべきだと思う。 しかし、この注意喚起が流された時には、アナウンスを出していたアンチウィルスベンダは他にもいくらでもあったのである。理由もなく特定の1社だけ紹介するのは、あまり好ましいことではないだろう。>> 多様な 2次被害が考えられる個人情報の流出 個人情報の流出には、さまざまな2次被害が考えられる。 各種のDM、スパムが送付されたりするのは、もちろんのこと、今回のように住所、電話番号などを含む個人情報が流れてしまうとストーカーまがいのいたずら電話まで想定される。 個人情報流出の情報が掲載された掲示板では、女性の個人情報を見て電話したというウソかホントかわからない書込みもあった。 個人情報の流出してしまった利用者は、なにか悪いことをしたのだろうか?いや、単純にいえば「運」が悪かったのである。「運」の悪い被害者は、どのようにすれば減るのだろうか?これもまた以前書いたことがある。 抜粋:大量無差別攻撃に無防備なサイバーテロ対策 その1(2001.10.29) https://www.netsecurity.ne.jp/article/7/3144.html「「運」の悪い被害者を減らす方法はある。問題発生時に、迅速に情報収集を行い、分析し、適切な対策の配信を行うことにより、被害を減らすことができる。 こうした当たり前のことを幅広く徹底することは、当たり前であるがために難しい。長期間にわたる啓蒙と地道な情報収集、整理、分析、配信体制の確立。これは、民間の自助努力では、とうてい実現できないと筆者は思う。「インパク」にムダ使いする金の一部でも回して欲しいとせつに願う。それで救われる中小企業やSOHO、個人はふやせるはずだ。」>> いまだに、問題が放置されているサイトには日々個人情報がたまっている 弊誌を含めボランティアでセキュリティ情報を発信しているサイトなどでの情報発信の甲斐もあって、個人情報を流出させているサイトはだいぶ減ってきた。 しかし、中にはいまだに個人情報の流出を放置しているサイトもある。そして、そのサイトを利用する買い物客もいるのである。こうしたサイトでは、日々、個人情報が増えていて、しかもそれらは全て誰でも閲覧できるネット上におかれているのである。 200を超えるサイトの全てを調査して、管理者に連絡をとるということも必要になってきている。問題は、誰がそれをやるかなのである。これだけ能書きを書いておいて、申し訳ない限りではあるが、弊誌にはそれはできない。零細企業の中の零細編集部に、人的、資金的余裕はないというのが現実である。 インパクやら各種委員会やら、さまざまな形で流れてゆく行政の資金のごく一部でもこうしたインシデント対応にまわしてもらえれば・・・と思うのは、甘いのであろうか? 必要があれば、弊誌で可能なことは、いくらでも協力させていただきたい。人や金は難しいが、情報ならば提供可能である。なにしろ売るほどあるのだから。[ Prisoner Langley ] (詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい) http://vagabond.co.jp/vv/m-sdex.htm http://vagabond.co.jp/vv/m-sc.htm
