【マンスリーレポート 2002/01】i モードECサイトの購入者情報が外部から丸見えに! | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.25(月)

【マンスリーレポート 2002/01】i モードECサイトの購入者情報が外部から丸見えに!

製品・サービス・業界動向 業界動向

 Scan 編集部では、毎月、その月のセキュリティ状況をとりまとめたレポートを翌月にマンスリーレポートとして発表します。
 レポートは、ウィルスの被害状況、事件状況、事後対応状況の3つです。その要約をお届けします。


 今年1月7日、i モードからアクセスできるECサイト(公式のものではなく、いわゆる勝手サイト)から、購買履歴のある個人の情報が流出するという事件が起きた。

 対象となったのは推定で約200のi モードECサイト。そのなかには、食品や物産、衣料品などのほかに、アダルトグッズの販売サイトも含まれている。そして、それらのi モードECサイトを利用した購入者の住所、氏名、電話番号といった個人情報や、購入した具体的な商品名もネット上で外部から閲覧可能になっていたのである。これらのECサイトに共通していたのは、インターネット上で一般的に有料配布されているサイト構築ツールを使用してサイト構築していたということだ。

 被害にあったi モードECサイトのある管理者が匿名を条件にメール取材に答える。

「個人で商売をしていたが、より販路を拡大しようと考えてi モードECサイトを開設した。サイト構築の際には、インターネット上や書籍を調べて、簡単そうなサイト構築ツールを使ってつくった。有料のツールだし、セキュリティに関しては問題ないとこちらは信じているし、セキュリティに対する知識がそれほどあるわけでもない。簡単、手軽に商売になるということでやっているわけだし、コストもかけられない」

 ちなみに、このi モードECサイトでは、今回取材をするまで購入者情報が漏れていることは知らなかった。

>> 公開ツールには初期設定ミスがありえる

 このような一般的に配布され、入手が可能なツールに関しては、知識さえもちあわせていれば、重要な情報がどこに格納されているか、ある程度特定することができる。また、そうした悪知恵を公開しているウェブサイトや書籍も存在する。しかし、一方では、そうしたファイルは厳重にガードされているのが普通であり、外部からそう簡単には閲覧できないとされている。

 ただ公開されているツールやソフトウエアには、デフォルト(初期設定)段階でミスがあることが珍しくない。なにしろ、普通に販売されているパーソナルコンピュータにバンドルされている各種のソフトウエアにさえ、デフォルトでの設定ミスがあるぐらいだ。

 そう言われたところで、十分な知識を持ち合わせていない一般のユーザが検証を行うのは簡単ではないが、安いから、手軽だからという理由で安易に飛びつくことが高い危険性をもつのは、電子ネットワークであれ現実社会であれ同じことである。とりわけインターネットなどの電子ネットワーク上で何かを利用する前には、信用のおける知人・友人やサイト、書籍・雑誌を利用して方法を収集することは不可欠ともいえる。

 さて、前出のi モードECサイトを利用した購入者は2人。やはり、住所やメールアドレスなどの情報が外部から丸見えになっていたが、取材後に管理者がサイトを閉鎖、購入者に対してはお詫びのメールを送っている。その他、20ほどのi モードECサイトを調べてみたが、5つを除いてすでに閉鎖されていた。
 すでに閉鎖した別のサイトの管理者が、やはり匿名を条件にメール取材に応じた。

【執筆:井上トシユキ】

詳しくは「ダイヤモンド・セキュリティ・レビュー」本誌をご覧ください。
http://www.vagabond.co.jp/vv/m-dsr.htm

───────────────
ウイルスのマンスリーレポートは「Scan Daily Express」に掲載されております。詳しくは下記をご覧ください。
http://www.vagabond.co.jp/vv/m-sdex.htm
なお、Scan本誌ではウイルス・インシデント・事後対応のマンスリーレポートすべてをご覧いただけます。
http://www.vagabond.co.jp/vv/m-sc.htm
今月のタイトル
【「BADTRANS.B」が引き続き猛威をふるう】
【iモードECサイトの購入者情報が外部から丸見えに!】
【UFJ銀行のサーバにセキュリティホールが!】
【インシデント事後対応 ベストはソニー、ワーストはUFJ銀行】
───────────────
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. 「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

    「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

  5. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  6. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  7. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  8. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  9. アジア以外ではランサムウェアの検出数が前年の2倍に、脅威の進化も(チェック・ポイント)

  10. ディープラーニングを採用したイスラエルのエンドポイント保護製品を発売(アズジェント)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×