車購入者の個人情報が大量に流出 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.02.21(水)

車購入者の個人情報が大量に流出

国際 海外情報

Kevin Poulsen(SecurityFocus)
2003年9月25日 21:03 GMT

 少なくても 1000 人の自動車購入者の個人情報および金融情報が一般にアクセス可能な Web サイトに露呈された。コンピュータ・セキュリティ・コンサルタントがこのプライバシー侵害の不具合を発見し、報告した。

 露呈されたサイトは、テネシー州に拠点を置くホスティング会社 Dealerskins 社の管理ページだった。同社は完全な Web ソリューションを自動車販売代理店に提供している。そのページは、パスワードで保護されておらず、非公開に関する警告も含まれていなかった。そして訪問者は autocentersdirect.com および courtesyflm.com のように、Dealerskins 社がホストするサイトの Web フォームに入力された全ての情報を最新順に閲覧できた。

 その保護されていないページの URL は、Dealerskins 社がホストする Web サイトを訪問することで、また HTML ソースコードを閲覧することで割り出すことができる(殆どのブラウザで極めて容易に行える)。

 前述のセキュリティ・コンサルタントが匿名を条件に今回の事件を SecurityFocus に報告した。その後、SecurityFocus はそのページがアクセス可能であり、またそのコンサルタントが述べたように表示されたことを確認し、火曜に Dealerskins 社に連絡を取った。Dealerskins 社は直ちに、そのページを取り下げた。そして同社の社員は、極めて迅速な対応をしたため、問題のページが一般からアクセス可能だったということを納得のいくまで検証する時間がなかった、と主張した。「率直に言うと、我々が想定しているリスク以上のことが発生していると理解するのに 30 秒かかった」と同社の社長 Gabriel Krajicek 氏は語った。

 同社は、流出の危険に晒された記録の数や、前述のコンピュータ・セキュリティ・コンサルタントの前にそれらのデータにアクセスした人物がいたのか否か、またインターネット上でそのデータが露呈された期間に関する言及は避けた。そして水曜にその URL を要求すると、ユーザ名とパスワードを要求するページが作成された。

>> 被害者に衝撃を与える

 同ページに安全策が講じられる前、露呈されたページのメニューには様々な種類のフォームが含まれていた。具体的には、"雇用フォーム" や "車体工場の連絡先" などだ。しかし、最も注意を払うべきフォームは "金融フォーム" だ。
 それには、車の購入予定者が全国にある地域販売代理店の Web サイトで入力したオンラインの借入申込書が保管されていた。

 コンピュータ・セキュリティ・コンサルタントが提供した最新の 10 名の 申込書サンプルには、名前、住所、電話番号、社会保障番号、職業、雇用者、以前の雇用者、身元保証、銀行口座の詳細、収入、在住期間、賃貸料あるいは住宅ローンの額、雇用期間、学歴などが含まれていた。

>> データ流出被害者の反応

 イリノイ州オークウッドにあるマクドナルドのマネージャ Misty Woods 氏は先週、地元 Ford ディーラの金融フォームに記入した。「そこに情報を入力すべきではない、という思いが頭をかすめた。但し、流出のような事件を想定したわけではない。まさか情報を一般にさらすようなことをするとは、思いもしなかった」と同氏。そして、その地元ディーラのことをよく知っていたので、インターネットを介した申込みを他の Web サイトで行うよりも安心感があった、と付け加えた。「私は Courtesy Ford のことをよく知っており、そのページについても問題がないものと思っていた」と述べた。

 イリノイ州ダンヴィル Courtesy Ford のインターネット責任者 Hank Clow 氏は水曜、Dealerskins 社によるデータ流出に関して販売代理店は報告を受けていないので、その件に関するコメントはできない、と述べるに留まった。

 カリフォルニア州の簿記係、Patricia Carr 氏は、あえて特定の Honda 販売代理店を選んだ。理由は、その Web サービスにある。「私の知人が実際に Rock Honda で車を購入して、とても素晴らしかったと言ったの。インターネットで申請が可能で、見積もりも受け取ることができる。とても簡単だと言っていたわ」と同氏。

 そして「今、とてもショックを受けている」と付け加えた。

 カリフォルニア州フォンタナの Rock Honda は、同社の Web サイトを介して Carr 氏の申請を受け取ったことを認めたが、データ流出については知らなかったと述べた。同社のサイトは今月の初めに Dealerskins 社のホスティングに切り替わったと Web 管理者 Rich Enos 氏は説明し、事件に関するコメントを拒否した。


[情報提供:The Register]
http://www.theregister.co.uk/

[翻訳:関谷 麻美]

(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×