自転車のツノダ、合わせ技での不正アクセス禁止法被害 46
ストーリー by GetSet
ツンツンツノダの踏んだり蹴ったり 部門より
ツンツンツノダの踏んだり蹴ったり 部門より
parsley曰く、"asahi.comの記事によると、自転車のツノダの顧客情報1万6000人分が流出したとのこと。加えて、改ざんされたメールマガジンが再送信され、記載されたアドレスを、同社のWebページと思ってアクセスすると、ウイルスに感染するという。
既に、メールマガジンは停止され、流出対象者を含むメールマガジン登録者全員に、謝罪メールが送信されており、500円相当の金品を送る予定とのこと。流出事故後の企業の対応の一つの型として定着しつつある。同社は、外部からデータを抜き出し不正アクセスを行った可能性が高いと発表しており、不正アクセス禁止法違反での告訴も含め検討している。一方、オンライン販売を行っているサーバは別サーバであり、被害はないとしている。
情報漏洩の被害パターンも徐々に複雑になってきているが、今後どのような被害が発生するのだろうか。外部からのアクセスを前提としたシステムを設計する場合には、さらに大きな被害が発生することを想定しなくてはならないだろう。"
メールアドレス = 500円? (スコア:2, 興味深い)
それで500円ですか。Yahoo! BBは住所やらもしかしたらカード番号込みで500円だったこと
と比べればまだマシと考えていいのでしょうか?
それとも、被害者が納得のいく金券の最小単位が500円だから?
Re:メールアドレス = 500円? (スコア:1)
一発芸としては、気持ちの表現レベルでありかなとは思いますが。
追従してもむしろ滑稽にしか受け取れん気がします。
YBB被害者だけどID
M-FalconSky (暑いか寒い)
Re:メールアドレス = 500円? (スコア:0)
まあ、そんなとこで張り合っても仕方ないんですが
Re:メールアドレス = 500円? (スコア:2, すばらしい洞察)
ジャパネットたかた [japanet.co.jp]の場合、どちらかといえば事後の真摯な対応が評価されていませんでしたっけ?
ジャパネットのケースだと、補償みたいなのはあったのでしょうか?
# 「株」と聞いて、別の自転車メーカーを連想したのでID. orz
Re:メールアドレス = 500円? (スコア:1, 参考になる)
会社に非があるかどうかはこの際別にして、
流出したのであれば、被害者としては、
・何で流出したの?
・どこに流れたの?
・どんな被害が考えられるの?
・これからはどう対処するの?
のほうが大事なのでは?。
そして、もし重大に受け止めているのであれば、
今回の事件の教訓を世間に啓蒙して被害を未然に防ぐぜー、
くらいのイキオイの真摯な姿勢があってもよいと思います。
#あ、これがネタにマジレスって言うんですか?
Re:メールアドレス = 500円? (スコア:0)
Re:メールアドレス = 500円? (スコア:0)
>基本4情報(氏名、住所、性別、生年月日)を漏洩した場合、
>慰謝料は1人につき1万円とする。
>ということが、最高裁判所の判断として示された
そうで。
個人情報漏洩保険 [slashdot.jp]なんて物も。
Re:メールアドレス = 500円? (スコア:1)
リンクミスりました。
#のでID。
Re:メールアドレス = 500円? (スコア:0)
嘘の垂れ流しはやめろ。
Re:メールアドレス = 500円? (スコア:0)
嘘の垂れ流しには変わりないがな。
Re:メールアドレス = 500円? (スコア:1)
--
3-2)-(ア) 本件データに含まれる情報のうち,被控訴人らの氏名,性別,生年月日及び住所は,社会生活上,被控訴人らと関わりのある一定の範囲の者には既に了知され,これらの者により利用され得る情報ではあるけれども,本件データは,上記の情報のみならず,更に転入日,世帯主名及び世帯主との続柄も含み,これらの情報が世帯ごとに関連付けられ整理された一体としてのデータであり,被控訴人らの氏名,年齢,性別及び住所と各世帯主との家族構成までも整理された形態で明らかになる性質のものである。
---
とわざわざ漏洩範囲を基本4情報でないとまで明示していますから
その損害範囲は基本4情報だけでないとして当然ですね。
ただしこの金額は...
---
4-2)-イ そして,本件において,被控訴人らのプライバシーの権利が侵害された程度・結果は,それほど大きいものとは認められないこと,控訴人が本件データの回収等に努め,また市民に対する説明を行い,今後の防止策を講じたことを含め,本件に現れた一切の事情を考慮すると,被控訴人らの慰謝料としては,1人当たり1万円と認めるのが相当である。
----
と記載されているとおり、その後の対応が悪ければ金額は変わってくるでしょう。
と言うことは基本4情報のみの漏洩時の損害賠償は出てませんから、まぁやってみなけりゃわかんないつぅのが結果ですねぇ~
比較的近いのはYahooBBの漏洩事件でしょうからとりあえず金額は傍観かなぁ~
社員少なっ (スコア:2)
登録はまだ可能なようです。
>記載されたアドレスを、同社のWebページと思って
メルマガURLの訪問率はどれ位だったのでしょうか?
(感染者?の方は、不調なPCの前で、、、。)
~~~~~~~~~~~~
viva!博多手弁党
いったい何のために盗むんだ? (スコア:2, 興味深い)
せっかく相当なリスクを犯して盗んだであろう情報を、何でこんなことに使うんだ?
もっといろいろおいしい使い方があるだろうに。愉快犯ってやつなのかな?
ま、盗んだ人=ウィルス云々した人であるとは限らんが・・・
#これだけいろいろ表ざたになってるということは、表に出ないのが相当あるんだろうなぁ・・・
実は、 (スコア:2, 興味深い)
メンバー一覧を請求されただけだったりして。
この件はどうか分からないけど、この機能を ON のまま
運用しているメルマガってありそう。
TomOne
なんというか (スコア:1, 興味深い)
これも大丈夫でしょうね?
うーみゅ(;´Д`) (スコア:1)
うーみゅ(;´Д`)
実際のメールはこんなです (スコア:2, 参考になる)
個人情報漏えいの件に関してのご報告と謝罪
いつも株式会社ツノダをご愛顧いただきましてありがとうございます。
弊社は、お客様に新製品の紹介や情報提供、キャンペーン等をお知らせする際にメー
ルマガジンを発行させていただいております。
この度、5月24日に、弊社からメールマガジンが配信され、配信先アドレスが公開
され、メール本文中のリンク先URLが改ざんされていると、受信された方からのご
連絡にてご指摘をいただきました。
5月24日に弊社からメールマガジンを配信した事実は無いことから、ご連絡下さっ
た方々のご協力をいただき調査いたしましたところ、5月20日に弊社より配信済み
のメールマガジン特別号を改ざんした「成りすましメール」の可能性が大きいという
ことが判明いたしました。
さらに、現在メールマガジンをご購読いただいている方及び、過去にご登録いただい
ていた方の名簿の一部が流出しているということも発覚いたしました。現時点では
約2万人前後のメールアドレス及び、登録名が流出した可能性があるとみておりま
す。
お客様には多大なるご心配とご迷惑をお掛けいたしました。心からお詫び申しあげ
ます。
====================================
尚、成りすましメール本文中のURLには決してクリックしないでください。
ウィルスに感染する可能性がございます。
====================================
○発生要因及び対策
上記の事態を受け弊社では本格的な調査を開始し、原因の究明とその対策を講じる
所存です。
現状までに判明したことは、悪意の第3者によるシステムへの侵入が原因であるこ
と、これを防ぐ対策は通常のファイアウォールだけでなく特別な防護システムが必
要なことなどです。
これらの対策が完了次第、弊社ホームページや紙面等で告知させていただきます。
○今後の対応
追って、流出した名簿の内容等全容が明らかになった時点で、あらためて今回の経緯
についてご連絡させていただきたいと思います。
また、被害を受けられた方へのお詫びにつきましては、被害状況を弊社にご報告いた
だいた上で500円相当の金品等をお送りさせていただきます。お支払い方法などはご
連絡いただいた際にご説明させていただきます。
弊社は今回の件に際して個人情報の保護・管理の重要性を再度深く認識し、今後こ
のような不備が二度と起きないよう、不正アクセス防止体制の見直しとセキュリティ
ー強化を進めます。
改めてご迷惑をお掛けいたしましたことを深くお詫び申しあげます。
この件に関するお問い合わせ
フリーダイアル 0120-03-0674
受付時間:平日午前9時〜午後6時(土日祝日及び年末年始等の弊社休日を除く)
e-mail tuntun@tu-bicycle.co.jp
担当: 大島、三浦
2004年5月25日
株式会社ツノダ
代表取締役社長 角田重夫
タイトルはもうちょっと何とかならなかったのでしょう (スコア:1, 興味深い)
え、「法」による被害? って、この法律のためにツノダがとばっちり的に損害を受けたのかと思っちゃったじゃないですか。
せめて「不正アクセス被害」とか「不正アクセス禁止法違反」にするとか……(これでもちょっと変な気がするけど)
これだけなのでAC
申し訳ない (スコア:1)
# ってこれだけでは、情報がアレなので。
ツノダのWebページに事件の件が全く触れられていない点。私が探し出せなかったのかもしれませんが、ニュースリリースのようなコーナーも見あたりませんでした。外部へ作成を依頼しているという運用上の問題もありますが、こういった突発事態への対応も大分影響しますよね?
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:申し訳ない (スコア:0)
確かに。ぬしには文章修行が必要なようじゃ。
まさか、そのコンピュータウイルスに… (スコア:1)
Super Souya
Re:まさか、そのコンピュータウイルスに… (スコア:1)
こういう形で再び知るとは思いもしませんでした。
#25年ぐらい前は色々なアニメーションでCMが見られたと思う。
Re:まさか、そのコンピュータウイルスに… (スコア:1, すばらしい洞察)
ソースのasahi.comには
って書いてあるから、今はCM打てるほど自転車売ってないと思われ。なるほろ (スコア:0)
# うーん、ありえるかも
Re:まさか、そのコンピュータウイルスに… (スコア:0)
昔を懐かしむわけではないですが
http://japgun.hp.infoseek.co.jp/sweetoldbikes/sweetbiketop.html
丸石の電動変速は持ってました。
あたり?はずれ? (スコア:1)
私のところにはお詫びメールは来たものの、問題のメールは来ていませんでした。
登録していたのはニックネームとアドレスだけだったので、流出していてもほとんど実害なかったんだけどなあ。
泣きっ面に蜂 (スコア:1)
シャチョー、3ヶ月間報酬カット。
やっぱり500円なのか‥‥ (スコア:0)
500円で済むのだろうか (スコア:2, 興味深い)
500円どころの損害では済まない可能性もありますよね。
でもY!BBの件と異なり、会社側に何の落ち度もないとすれば、
(被害のない人含め)全員に一律500円というのは高い気もするなー。
「個人情報1人分=500円」というのは悪い前例のような気がしますね。
#かといって「犯人はウイルス感染したPCを直せ」「送信したメルマガを回収しろ」という
#仮処分申請が行われたりするのも悪い前例 [srad.jp]になるので注意してね
Re:500円で済むのだろうか (スコア:0)
データを抜かれるような管理をしていた時点で「何の落ち度もない」とは思えませんが…
Re:500円で済むのだろうか (スコア:1)
現時点での情報だけでは何ともいえないので、今後「会社の落ち度」がはっきりする可能性もありますよね。
とは言え仮に、外部からのクラック行為によってパスワードが破られた!みたいな話だったとしたら、
・内部から情報流出したY!BB とか、
・何のカギもかけずに情報を公開していたACCS とかと
一緒くたに扱うのは、ちょっと可哀想な気がします。
#ま、「可哀想な気がする」だけで責任は重いと思いますけど
Re:500円で済むのだろうか (スコア:1)
>>>データを抜かれるような管理をしていた時点で「何の落ち度もない」とは思えませんが…
>現時点での情報だけでは何ともいえないので
抜かれるようなところにデータを置くな、ばか。という話ですね…
失礼しました(^^;
Re:500円で済むのだろうか (スコア:0)
ウイルス感染が基準なら、
せめてここを基準に [symantecstore.jp] ¥4750くらいにしないのかな。
#ってか、その前にウイルス対策ぐらい自前でしておけってか。
#いいかげんNetSkyに感染してることに気づいてよ。
#毎日20通ぐらい届けられるメールがウザくて、、、
Re:やっぱり500円なのか‥‥ (スコア:1, 興味深い)
Re:やっぱり500円なのか‥‥ (スコア:1)
Re:やっぱり500円なのか‥‥ (スコア:1)
・職業が変わった
・姓が変わった(性が……?)
・病歴が増えた(減らないよなぁ……)
・年収が変わった(減らないでくれよ~)
とかで、古い個人情報の価値は時と共に下がっていきます。
だからって、「個人情報(年齢)の更新をお願いします」ってメールを寄越すのはなんだよ。
生年月日ちゃんと登録してるだろうが。
Re:やっぱり500円なのか‥‥ (スコア:2)
>生年月日ちゃんと登録してるだろうが。
生存確認。
修正が入るということは有効な情報とみなすわけで。
SPAMの文中に「迷惑でしたら~に返信すれば解約できます」みたいに書かれているのと一緒。
Re:やっぱり500円なのか‥‥ (スコア:1)
Re:やっぱり500円なのか‥‥ (スコア:1)
ウイルスに感染 (スコア:0)
これがどんな仕組みで感染するのかわかる人いたら、詳細きぼんぬ。
Re:ウイルスに感染 (スコア:3, 参考になる)
# オフトピ気味失礼。わりと得意分野なもんで
例えば (独自調べで) 結構流行っている Redlof (HTML.Redlof.A や VBS/Redlof-A 等と呼ばれています) の場合,ActiveX と複雑な VBScript の組み合わせでウィルスが侵入するようです。
また詳細はすっかり忘れてしまいましたが,Nimda と呼ばれるものは readme.eml というファイルの中にウィルスを仕込んでいました。IE は拡張子 eml のファイルを特別な方法で処理するんでしたっけか? 他にも VBS を用いた Haptime,あまり流行っていないけれども HTML.ENEL.3787 等……
エロサイトのスパイウェアは,ms-its:スキームの脆弱性を利用している事がよく知られています。
どのブラウザでも完璧に安心できるわけではないでしょうが,IE は特に ActiveX や VBS で危険度を増しています……って,/. においては "今更" でしょうか(汗
その500円で流れた情報を削除せよ!! (スコア:0)
が、、、タレコミの情報を見ると
「外部からデータを抜き出し不正アクセスを行った可能性が高いと発表しており・・・・・」
あのぉ~ 内部からってのは比較的 企業内での管理がずさんなのが
みえみえでわかるのですが
外部から情報が記録されているサーバーがのぞけるようになってたんですかぁなるほど 参考になります いまだにそんな仕様のサーバーがあることに。
推理1 (スコア:0)
アドレス帳に登録してあるアドレスに手当たり次第に再送信するようなウィルス
に、メールマガジンを送信していたマシンが感染した。
と、いうような推理はいかがでしょうか。
500円 (スコア:0)
今回の場合、状況から明らかに悪意がある者にやられたんでしょうが、
ツノダはいったいどれくらいのディフェンスをしていたのですかね?
その度合いによってはサイバーノーガードと変わらんのではないかと。
ここまで、顧客情報流出が多いと (スコア:0)
って事を、システムやら運用やらを設計する段階で考えておくのは当然として、
「万が一、顧客情報が流出してしまった場合、被害を最小限に食い止められる為には、どうすれば良いか?」
って事を考えておくのも重要になってくるんじゃ無いでしょうかねぇ‥‥‥。
#じゃあ、具体的に、どうすりゃいいんじゃ、と聞かれても
#何も考えてないんでAC