パスワードを忘れた? アカウント作成
8091 story

三菱マテリアルがファイル丸出しで顧客情報漏洩 122

ストーリー by Oliver
歴史は繰り返す、何度でも 部門より

Anonymous Coward曰く、"一昨年多発したファイル丸出しが原因の顧客情報漏洩事故(ストーリ1ストーリ2)と同様のケースが久々に発生した。日経IT Proの記事によると、三菱マテリアル社の純銀粘土を販売するウェブサイトに送信された注文情報が、「階層の深い,あるURL」(同社広報IR室の表現)を指定することで閲覧可能になっていたとされている。実際には /cgi/ のディレクトリ以下がすべて丸出しになっていたため、階層の深いURLへはリンクを辿って閲覧できた。同社の発表「純銀粘土のネット販売における顧客情報流出のお詫び」によると、「純銀粘土に限定されたものであり、純金積立やジュエリー、純金カードなど他の事業の顧客・会員情報は含まれておりません。」とされている。しかし、遅れてメンテ中になった純金カードのお問い合わせ・カタログ請求の画面の送信先も、/cgi/demand/demand.cgi という場所になっており、こここも丸出しだったことが2ちゃんねるで指摘(dat落ちのため読めない)されており、純金カードの請求者情報が本当に漏れていないのか疑問である。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 対応が遅いな・・ (スコア:4, おもしろおかしい)

    by blackdrug (13208) on 2004年05月07日 15時55分 (#542592) 日記
    dat落ちしたのを●で読んでみると、おそらく一番初めの書き込みが
    05/03 22:45。
    三菱マテリアル記事 [mmc.co.jp]によると
    5/6朝の8時に某チャットの書き込みでやっと気づいてますね。

    朝から何してらしたんでしょうか
    • by Anonymous Coward on 2004年05月07日 16時04分 (#542597)
      チャットやBBSやMLを監視して通報するサービスがあるらしいですよ。
      先日もこんなふうにデータもCGIもいっしょくたにインストールする奴が居てサー。 /cgi-bin/ に入れてくれよって言っても「出来ません」とか答えるんだよ。 おまえらの「出来ません」「わかりません」でどんどん世の中が悪くなる。 死ね。
      親コメント
  • タイミングのいい(?)ことに、トーマツが「個人情報が漏洩した企業をフォローする新サービス」を始めた [nikkeibp.co.jp]そうで。
    実際、今回のような言い逃れしにくいケースなんかだと、外部コンサルに全権を委任するぐらいの方がいいのかも知れず。

    そのうち「また判で押したような対応かよ!」みたいな非難が起こるとは思うが。
    --
    ---- 何ぃ!ザシャー
    • 実際、今回のような言い逃れしにくいケースなんかだと、外部コンサルに全権を委任するぐらいの方がいいのかも知れず。
      その外部コンサルの個人情報(?)が漏洩したら、「個人情報漏洩企業一覧」が出来あがりますね。

      #その名簿って利用価値あるのかな
      親コメント
  • by Anonymous Coward on 2004年05月07日 18時02分 (#542666)
    今回の丸出し箇所で使われていたショッピングカート用のCGIアプリケーションは、これだったと指摘されています。

    ウェブ・ストアー [スタンダード・エディション] [webpower.jp]

    ダウンロードしてマニュアル(ReadMe/install.html)を読んでみると、こう書かれていて、セキュリティのリスクは説明されていません。

      private_html/ (WWWから直接参照できないディレクトリ)
        (可能な場合は"data"ディレクトリはここに設置。CGIの初期設定も変更要)
        data/
      public_html/ (サーバーによって名前は異なる)
        cargo/ (任意のディレクトリ)
          data/ [ 777] (ディレクトリ名はランダムな文字列に変更する。
            変更した場合はCGIの初期設定も変更要)
            .htaccess (.htaccessが使えるサーバーではアップロードする)
            data.txt // 自動生成
            env.cgi // 自動生成
            *.ord // 自動生成 (注文ファイル) *は注文番号
          index.html (既に存在する場合は不要。無い場合は空ファイルでよいのでアップロードする)
          cargo.cgi [ASCII 755]
          admin.cgi [ASCII 755]
    (以下略)

    cargo/ には index.html を置けと言いつつ、cargo/data/ に置けとは言っていないとか、突っ込みどころが満載です。
  • 報道 (スコア:1, 参考になる)

    by Anonymous Coward on 2004年05月07日 17時01分 (#542628)
    報道状況の一覧です。
    • by wadatch (6649) on 2004年05月07日 18時19分 (#542675) 日記
      各社、比較すると興味深いですね。
      専門的知識って、リンクが張られていない場所にアクセスするのもそうなるのかな・・・。

      >「流出した取引情報には銀行の口座番号やクレジットカード
      >番号が含まれていなかった。どのような法的措置が可能か、
      >顧問弁護士と相談中」

      おまえが法的措置を受けろよ、と突っ込みたくなりました。
      まぁ、(流出した個人情報を削除させる)法的処置のことだとは思うけど。
      親コメント
  • スタンスの問題でしょう。

    できることを知らない。
    できることをしない。
    する必要性を感じていない。
    感じても報告する気がないやる気のない社員。
    言っても話を聞いてくれない上司や経営陣。
    • 久保田君に続け (スコア:5, おもしろおかしい)

      by Anonymous Coward on 2004年05月07日 17時27分 (#542643)
      ディレクトリにパーミッションを設定する等の「セキュリティ対策」には
      高度に専門的な知識が必要となり、当然ながら費用も掛かる。
      上場企業とは言え、その費用負担は軽くは無いはずだ。
      三菱マテリアルが顧客の個人情報を守れなかったのは、
      現実的には仕方の無い事と言えるだろう。
      もちろん、三菱マテリアルには「個人情報を預かる上での責任」があるが、
      法的責任を負うほどの注意義務違反があったかはわからない。
      そこまでの注意義務違反はないのではないか。

      それよりも、
      一般人には想像もつかないような高度な技術を用いて
      「アクセス制限の無い、ただおかれただけのファイル」を、
      管理者の了承も得ずに勝手に取得したり、その方法を喧伝する
      スーパーハッカーや自称セキュリティ研究者達は、
      「個人情報を盗まれた人たちの不安」をどう思っているのだろう。
      全く倫理に悖る行為であり、理解に苦しむ。

      三菱マテリアルは今後、これ以上の情報漏洩を食い止めるべく、
      ファイル交換ソフトや2ちゃんねるなど、ネットのチェックをせねばならず、
      三菱マテリアルの本来の業務に支障が出る事は疑う余地が無い。
      威力業務妨害も含めて損害賠償請求を検討すべきだ。

      # とか言ってみる。
      親コメント
    • by Anonymous Coward on 2004年05月07日 17時59分 (#542663)
      個人情報は、漏らした企業にとっても漏らされた顧客にとっても危険なシロモノになりうる。

      いっそ、危険物なみに「個人情報取り扱い師」なる国家資格を作って、きちんとした知識を
      持っている者以外は取り扱い禁止にしたらどうだろうか。

      一級は100万件まで(電話番号及び住所を含む)、二級は1万件まで(住所を含む)、
      無資格者は100件以下まで、とか制限つけてさ。
      親コメント
      • by Anonymous Coward on 2004年05月07日 18時32分 (#542682)
        >個人情報は、漏らした企業にとっても漏らされた顧客にとっても危険なシロモノになりうる。

        確かに危険になり得るんだけども、余りに針小棒大な騒ぎが多すぎるので逆に覚めちゃうんですよね。

        例えばYahoo!BBの時だって「500円のはした金で」とか騒いでいる人間もいたけども、実際、名簿の価格として考えたらそれですら高すぎるレベルのもの。
        その辺りのちょっとしたアンケートにヒョイヒョイ答える奴等がいる状況から見ても大したモンではない。

        それをセンセーショナルに煽ってさも凄い情報が出たかのような報道では、現実に致命的な情報が流れた時なんかには既に感覚が麻痺してしまうのでは無いかと。

        >一級は100万件まで(電話番号及び住所を含む)、二級は1万件まで(住所を含む)、 無資格者は100件以下まで、とか制限つけてさ。

        一応国の基準では5千人がボーダーラインだったかと。

        ってか、運用開始以前に個人情報保護法が無効だと判断されている時点で、他のものを作ってもやっぱり無効だと判断されて終るだけだと思われ。

        親コメント
        • by Francis (12546) on 2004年05月07日 22時30分 (#542762) ホームページ 日記
          こういう方が結構いらっしゃいますからね。
          500円はお詫びの金額であって、はっきりいって無くても良いお金。
          喪失した利益を埋め合わせるお金は払っていないのです。算定も、払うのも、無理だから。

          勘違いをなくすためにもどなたか
          「個人情報の回復サービス」
          を運営していただけないでしょうか。
          その料金が市場を形成すれば「失った情報の市場価値」として算定することができます。
          誰にでもわかりやすい形になります。

          メールアドレスが漏れたら、SPAMを全て処理した上で知人にはメルアド変更の知らせを出してくれて、有効なメールを全て新アドレスに送ってくれる。
          電話番号が漏れたら、セールスをすべて撃退してくれて、知人の電話のみ事情を話して転送してくれる。
          住所が漏れたら、転居先を用意し、セールスとDMを撃退し、面倒な手続きも全てやってくれる。

          それだけやって、やっと回復でしょうか。莫大な手間と費用です。

          趣味が漏れたら、嗜好を変更する手伝いを。
          家族構成が漏れたら、家族構成変更のt(狙撃
          親コメント
        • by Anonymous Coward on 2004年05月07日 19時41分 (#542708)
          例えばYahoo!BBの時だって「500円のはした金で」とか騒いでいる人間もいたけども、実際、名簿の価格として考えたらそれですら高すぎるレベルのもの。 その辺りのちょっとしたアンケートにヒョイヒョイ答える奴等がいる状況から見ても大したモンではない。
          それを言ったら「強姦だって性的サービスの市場価格として考えたら2万円くらいの慰謝料でいいんじゃん、そのあたりのちょっとしたナンパにほいほいひっかかる状況から見ても大したモンではない」って話に…
          親コメント
  • by yamajaki (13288) on 2004年05月07日 17時37分 (#542648)
    記事を見たときに即座に「うぉ,SoftEtherのせいか!?」
    と思ったら違うようですね.

    参考URL
    http://www.mmc.co.jp/japanese/corporate/news/news20040301.html
  • by ikepyon (613) on 2004年05月07日 21時00分 (#542729) 日記
    なんかこのようなのが何度も起こるとみんな他人の失敗を元に反省なんてしないんじゃないかと思います。
    やっぱり、業者が作ったプログラムの受け入れテストやフリーのソフトを使うとき、自分が作ったプログラムのテストのためのチェックリストが必要なんですかね?
    暇ができたら作ってみるかなぁ。
    • by Elbereth (17793) on 2004年05月07日 23時03分 (#542776)
      >なんかこのようなのが何度も起こるとみんな他人の失敗を元に反省なんてしないんじゃないかと思います。

      反省して改善できる人はそもそも失敗しません。
      親コメント
    • by Anonymous Coward on 2004年05月07日 23時21分 (#542783)
      なんかこのようなのが何度も起こるとみんな他人の失敗を元に反省なんてしないんじゃないかと思います。
      そりゃもうみんな反省というか、自分とこは大丈夫かって見直しましたよ。2002年のことです。あのころは何十箇所も発覚してテレビやら新聞やらで出てましたからね。

      2003年以降に発覚したのはわずか3件です。

      まともな会社は2002年にちゃんと対策をとったのでしょう。残されていたのは、個人サイトと、国家公務サイトと、……。
      親コメント
  • by Anonymous Coward on 2004年05月07日 23時34分 (#542787)
    サーバーがApache1.2.6 6 みたいだけどパッチとか大丈夫なの? 1.2系運用してる人いたら教えてください。
  • by dorifer (514) on 2004年05月08日 1時48分 (#542824) 日記
    デジタル貨幣がスタンダードとなっていればねえ。

    ま、コンテクスト的に絶対無理だったろうけど。
    --
    IN EARTH AND SKIE AND SEA STRANGE THYNGES THER BE.
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...