【マンスリーレポート2003/11】不正アクセスで個人情報が盗まれる危険性があらためて浮き彫りになったACCSの問題 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

【マンスリーレポート2003/11】不正アクセスで個人情報が盗まれる危険性があらためて浮き彫りになったACCSの問題

製品・サービス・業界動向 業界動向

──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────


 ACCS(社団法人コンピュータソフトウェア著作権協会)は11月11日、同協会が運営するサイトの質問フォーラムにおいて、ここに入力された個人情報が閲覧可能であったことを発表した。流出した個人情報は1,184名分になるという。なぜ、このような事件が起きたのか、その詳細を報告する。


>> 個人情報を管理するサーバのcgiに問題があり

 今回の問題は11月9日に、ある「第三者」からACCSに対し、「ACCSのホームページ上から個人情報を入手できる」という内容の電子メールが送られたことで発覚した。具体的には、ACCSが運営するホームページの一つである、「著作権・プライバシー相談室〜ASK ACCS」( http://www.askaccs.ne.jp/ )上の質問フォームから、そこに記入していた個人の情報が、他のインターネットユーザによって入手できる状態に置かれているというものであった。

 ACCSでは、送られてきた電子メールに添付されていたファイルに書かれた個人情報が、ACCSの保有している情報と同一であったことから、この指摘が事実であると認識。11月11日の発表後、11月12日の未明0時30分には問題のあった「ASK ACCS」のCGI機能を停止するなど、技術面での緊急措置を実施した。

 それでは、なぜ、ACCSのホームページ上から個人情報が入手可能な状態となっていたのだろうか。この問題を指摘した「第三者」によると、原理的には「サーバの中のファイル表示をする機能を持つcgiが、制限無くどのようなファイルをも表示できるようになっていた」という。つまり、HTMLソースを見て、「ファイル表示機能を持つcgi」と理解できる人間であれば、ファイル名を指定するだけで、サーバ内のあらゆる情報を見ることができる可能性があるというのだ。


>> みずほ証券の顧客情報流出と同じパターン

 この「第三者」によれば、「基本的には2002年4月に起こった『みずほ証券』のサイトから個人情報が流出した事件と同じパターン」であるという。「cgi本来の表示機能を利用するにあたって、ファイル名を指定するべき場所に、閲覧しようとするファイル名を指定するだけ個人情報を入手できてしまう。その作業は普通、『特別な操作』とは言わない」と、「第三者」は多くの人間がACCSのサイト上から個人情報を入手できる可能性があったことも、あわせて指摘している。

 一方、ACCSでは、「cgiファイルはCSV形式で残るが、そのファイルについては定期的に廃棄するなど、個人情報保護の取り組みはしていた。しかし、今回はCSV形式のファイルとは別個に、ログファイルが残っていて、そこから個人情報が入手可能となっていた。レンタルサーバを利用しているが、そのことに関しての情報を得ていなかった」とコメントしている。


>> cgiを提供していたファーストサーバでは、cgiの入れ替えやバージョンアップを実施

 さて、ACCSの「著作権・プライバシー相談室〜ASK ACCS」のサーバを管理していたのは、クボタ系列のレンタルサーバ会社・ファーストサーバである。同社によれば、「問題となったのは、当社で標準cgiと呼ばれるもので、今年初めより、すでに提供は中止し、新たなバージョンに切り替えていた」という。問題となったのは、顧客となる企業側で管理する仕組みであったが、新たなバージョンでは、ファーストサーバ側で一括管理するものだという。現時点では、問題となった標準cgiを利用しているサーバは他にも存在しているが、ファーストサーバでは、「現在、顧客と個別に相談しながら、cgiの入れ替えなどの作業をしている」という。


【執筆:下玉利 尚明】

(詳しくはScan Security Managementをご覧ください)
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?ssm01_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 自分の利用しているサーバの状況を確認する方法 不正中継確認

    自分の利用しているサーバの状況を確認する方法 不正中継確認

  4. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  5. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  6. サイバー攻撃の観測レポートや注意喚起情報などをブログ形式で発信(IIJ)

  7. IoTとAIを組み込んだスマートマンション、そのサイバーセキュリティを探る(インヴァランス)

  8. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  9. ここが危ないインターネット クレジットカードの落とし穴

  10. 世界で発生した情報漏えい事件から、該当アカウントを調査するサービス(ソリトン)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×