パスワードを忘れた? アカウント作成
9209 story

NTT西日本のWebサイトで7000人の顧客情報が閲覧可能に 70

ストーリー by yoosee
やっちまってる 部門より

seraen曰く、"日経朝日新聞の記事によると、NTT西日本の顧客約7000人分の個人情報が、インターネット上でだれでも閲覧可能な状態に、約3ヵ月なっていたそうです。この顧客情報は、NTT西日本の大阪支店が8月から、大阪府と和歌山県内の非対称デジタル加入者線(ADSL)や光ファイバーの契約者を対象にインターネットの利用状況などをネット上で調査。顧客の氏名、住所、電話番号やメールアドレスなどの情報を集計していたもので、アドレスを打ち込むことで閲覧が可能で、またパスワード等の保護は一切なく、誰でも見ることが出来たそうです。
同様の事件は、今までもあったのですが、なかなか教訓は活かされないことは、個人情報に対する意識の低さを表しているのでしょうか。こういった大企業では、プライバシーマークの取得やセキュリティ保険に加入などしているでしょうけど、あまり役に立っていないものなのでしょうか。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ここ [privacymark.jp]によるとNTT西日本はプライバシーマークを取得してませんよね。
    プライバシーマークを取得していない企業だからこうなるということで、プライバシーマークの宣伝に使えるんじゃないでしょうか。
    • 今までの実績をみると、プライバシーマークを取得した方が
      このような事がおおい、というか目立つきがするので、
      信用してません。>プライバシーマーク
    • プライバシーマークはオフラインでのデータの扱いについて云々と言うだけで、パーミッション設定やらフォルダに認証が掛かってるかどうかなんて問題にしていない気が...
    • プライバシーマーク取得事業者が認定を取り消された事例 [impress.co.jp]があります。
      認定を取り消されると取り消し事業者としてサイト上で公開され、2年間は再取得できません。
      (今は再取得したようで認定事業者にリストされています。で
    • 『おもしろおかしい』じゃないのかな?
    • by Anonymous Coward
      信用ならない一企業が取得していなかったからと言って、
      取得している企業が信用に足りるとは限らない。
      • ソレを言うなら、プライバシーマーク付与認定指定機関が本当に信用できるとも限らんが。
        --

        /* Kachou Utumi
        I'm Not Rich... */
        親コメント
        • by Li Luxing (7797) on 2004年11月14日 7時54分 (#652352)
          >ソレを言うなら、プライバシーマーク付与認定指定機関が本当に信用できるとも限らんが。

           恐ろしいのは、信用できるかできないかを判断する私のような素人が一番信用できない事だったり。
          --
          李 露星
          親コメント
          • Re:論理学 (スコア:2, すばらしい洞察)

            いや、
            >私のような素人が一番信用できない事
            という認識を本人が持っているならまだ良いと思うのです。

            プライバシーマークを取得したことで、
            「これでウチの情報保護は万全っ!」と自信を持ってしまう企業が
            少なくないように思えることのほうが、
            はげしく恐ろしいと思うのです。
            親コメント
            • by Anonymous Coward
              うちの会社でもプライバシーマークを取ろうという話になってコンサルが来たりしていますが
              話す話は「どうすればプライバシーが守られるか」じゃなくて、「どうすれば漏れても責任を問われないか」という話ばっかり。
              考えているのは「これでウチの情報保護(問題での責任対策)は万全っ!」ってことでしょ。
              • by Anonymous Coward
                うちの会社で取ってるISMSとは性格がぜんぜん違うのか…

                ISMSは一見プライバシーマークと異なるようにも見えるけど、
                個人情報保護もその中に含むからなぁ。

                というかISMSがあればプライバシーマークなんて要らないような気
              • by Anonymous Coward
                > 「どうすれば漏れても責任を問われないか」という話ばっかり。

                たとえば?

                個人情報の取り扱い規則をあらかじめ定めておけ。
                下請けに個人情報を渡す際にこれこれこういうことを指示すること。
                使い終わった媒体からデータを消去した旨の記録を取っておけ。

                とか?
              • by Anonymous Coward
                >ISMSは一見プライバシーマークと異なるようにも見えるけど、
                >個人情報保護もその中に含むからなぁ。

                それはISMSかPマークに関する理解が欠けてます。
                両者で重複する部分もありますが、重複しない部分もあり
              • by Anonymous Coward
                個人情報にアクセスできる人間を小数(できれば1人)に絞ることによって責任を個人に押し付ける。
              • by r5 (24383) on 2004年11月14日 13時35分 (#652458) 日記
                うちの会社は両方取ろうとしてるけど、
                PマークもISMSもどっちもどっちな気がするよ。

                手順を定めても現実業務と乖離が大きすぎて守られないのは必至だし、
                サーバの技術論なんてどこにも触れられてないから、
                タコが穴だらけのサーバを構築するのを止められない。

                でも、これだけ毎回大騒ぎになってるのに、
                セキュリティ技術の体系化されないことといったら。

                いや、いろんな環境や要求があるし簡単じゃないことは分かってるけど・・・

                #えーと、タコの一人なので自分でやれなんて言わないでください。
                 コンサルの価値が下がるから許さんというのも御容赦。
                親コメント
              • by wtnabe (16084) on 2004年11月15日 15時52分 (#652922) 日記
                問題はこれらの認証を受けることの意味を正しく理解していることが社内で評価されないから、偉い人ほど分かっていないという事態に陥りやすいってことではないかと。せっかく ISMS や個人情報保護についてあるレベルに達していることを手っ取り早く確認する方法が確立されたのに、もとの考え方をさっぱり理解していないとやっぱりうまく機能しないという、分かりやすい例になってしまった感が強いです。

                手順と現実との乖離って、より高いレベルでワークフローそのものを見直す必要があるのにそれがうちのセクションじゃ決められない、とかそういう問題だと思いませんか?

                # 関係ないけど ITSS もうまくいくんだかいかないんだか生暖かく期待中
                親コメント
      • by quililila (23086) on 2004年11月14日 10時58分 (#652397) 日記
        だから「宣伝に使える」んだって。
        それが正しいかどうかは全然関係ない。
        親コメント
      • by chute (19365) on 2004年11月15日 18時49分 (#652990)
        前件部が「信用ならない企業は取得できない」
        ならば対偶になるんですけどね.
        親コメント
  • お客様の情報が外部から閲覧できる状況にあった事象について
    http://www.ntt-west.co.jp/osaka/news/2004/041116/happyobun.doc

    しかし、お詫び文書のファイル名に"Happy"とはけしからん:-)
    --
    -------- tear straight across --------
  • by Anonymous Coward on 2004年11月14日 1時02分 (#652263)
     記事の確認用にアクセスしたマスコミには不正アクセス行為禁止法が適用されるのかなぁ?

     記事中の、
    >実際に外部からのアクセスがあったかは不明。
     って、まったくログ残していないのか?それはそれで(ry
    • その法律で定義するところの「不正アクセス」が成立するためには、
      他人のID、パスワードを不正に使って
      認証を通り抜ける必要(?)があるはずです。

      今回の件では、パスワードによる保護自体が
      掛かっていないということなので、
      不正アクセスには当たらないでしょう。

      基本的には、相手がネット上にポーンとおいておいたリソースに
      普通にアクセスしたという扱いにしかならないと思います。

      # まあ、法律で問題じゃなくても、
      # なんか別の次元で問題はあるよなぁ、とは思うのですけれど…
      親コメント
    • 一応フォローしておくと16日のNTT西日本大阪支店の発表 [impress.co.jp]によれば、

      > 同支店の調査によると、外部からの集計・閲覧用URLへのアクセスは、
      > 11月6日および10日から12日にかけて合計206回確認されたとしている。

      なのでログは残してあった模様。また、

      > 今回に限ってパスワードもかけられていなかったため、
      > 外部からアクセスされてしまった

      らしいです。
      --

      --
      そして市が栄えた。
      親コメント
    • えーっと
      朝日新聞もアクセスしたということで、office氏と同じく
      訴えられることになります。
      httpの脆弱性をついたものであり、不正アク(ry

      んなわきゃないw
      • 河合容疑者(office氏)もなんでマスコミにタレこまなかったんだろう?
        個人で指摘して相手にされなかったら
        次は権力を持ってるマスコミなどを通して、っていうのが普通の人の発想だと思う。
        なんでいきなり講演会みたいなところで、手口を発表しちゃったんだろうね。
        やっぱ目立ちたかったんだろうか。
  • 所詮飾り (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2004年11月14日 0時11分 (#652242)
    プライバシーマークなんて所詮飾りです。偉い人にはそれがわからないのです
  • by Anonymous Coward on 2004年11月13日 23時20分 (#652213)
    まだアクセスしてなかった。
    間一髪。
  • by Anonymous Coward on 2004年11月13日 23時50分 (#652229)
    暇な4様曰く「何かもらえるらしいぞ」
  • by Anonymous Coward on 2004年11月14日 5時32分 (#652340)
    NTTグループのほぼ全てにおいて、情報管理は愚かそれいがいのことは
    全て考慮されていません。
    上の人も下の人も初心者に毛が生えたくらいの知識しかないです(開発部署を除く)

    • ウェブスタンダード?なんじゃそれ?見た目がよけりゃ(ry

    • 情報の管理?出来てると思います(根拠なし)

    • Webアプリケーション?perlで書いてログはその辺に貯めりゃいいでしょ。検証?したことないなあ

    • すべて広告代理店さんが正しい


    以上の論理で動いてます、実話です。
    • by ken-1 (4041) on 2004年11月14日 8時11分 (#652356)
      > 上の人も下の人も初心者に毛が生えたくらいの知識しかないです(開発部署を除く)

      そういうのって、たぶん外から見れば、開発部署も似たようなレベルなんじゃないかな。

      「オレたちだけは違う」って思いたい気持ちはわからないでもないけど。
      親コメント
      • by Anonymous Coward
        >「オレたちだけは違う」って思いたい気持ちはわからないでもないけど。

        いや、むしろそう思ってるお前らが一番遅れてるってのが典型的なパターン。
        特に研究とか開発みたいな客前に出ないひきこもり部署は。
        • by ken-1 (4041) on 2004年11月14日 17時22分 (#652507)
          いや、誰が遅れてるとかいうことじゃなくて、NTTグループの上から
          下まで初心者に毛が生えたようなレベルだとするなら、開発部門だけ
          まともっていう可能性は低いんじゃないの?

          NTTグループの内部では、まともな部署とそうではない部署があって
          区別ができると思っていても、外の基準に当てはめれば目糞と鼻糞の
          差くらいしか違わないんじゃないの? っていうこと。

          NTTグループみたいに、大きくて、歴史的な経緯から閉鎖的な取引が
          多そうなところでは、外の世界の基準や常識に対して鈍感になっている
          可能性が高いのではないかと思ったので、「下だけ見て安心してちゃ
          だめだよ」って言いたかったんだけど。
          親コメント
    • by Anonymous Coward on 2004年11月15日 15時23分 (#652915)
      グループといっても横のグループと縦のグループがあってそれぞれ色が違う。
      グループといったときに「NTT」と呼ばれるのは元締めのの持ち株のことなんでしょうか、それとも「東西」のことなんでしょうかね。

      レベルの違いはあれど、ちゃんと情報管理が徹底されているとこもあります。
      ISMS認証、Pマーク認証取っているところだってあるわけですから。

      ところで、情報管理がおろそかなのはむしろ開発部署だと思うのですが…どうでしょうか?
      個人情報の第三者委託とかあまり意識していないように思うんだが…

      NTTグループ所属なのでAC
      親コメント
  • by Anonymous Coward on 2004年11月14日 5時53分 (#652342)
    朝日新聞の記事 [asahi.com]によると、NTTの馬鹿はこう言っているそうですね。
    〈NTT西日本大阪支店広報室の話〉 アンケート内容が外部に漏れているとすれば、誠に遺憾であり、申し訳ございません。不十分な点については、よりセキュリティーの高いものに変更したいと考えています。
    「よりセキュリティの高いもの」って何だよ? サーバ買い換えれば解決するとか思ってるのか?
    • by Anonymous Coward on 2004年11月14日 10時05分 (#652387)
      IT部門がその手を使わないとサーバ買い換えができない会社がほとんどでは無いかな? 合理的必要性を訴えても、動いているじゃないか でサーバのアップグレードができない。トラブルが起これば対処費用がでてくるので何とかなる。

      ---
      うちの会社がそうなのでAC
      でも情報系の会社がそれでいいのか?!
      親コメント
    • その読み替えというか脳内変換はそれこそ「馬鹿」と呼ばれても仕方ないね。
      • この場合は「システム担当業者を変える」ってことでしょうか。

        いつも思うんだけど、クラックされたり情報漏洩したりしたシステムの
        開発・運用業者の名前はなんで公表されないんだろう。
        今回の件も、詳しく報道されているわけじゃないからわからないけど、
        責任の一端はNTTだけじゃなくて、そうした業者にもある可能性は否定できないと思う。
        公表されたほうが他の企業が業者を選ぶときにも参
        • きっとあれです。NTTが開発業者を使っている(しかも管理できていない)ことがバレルとまずいからですよ。
          NTT(東・西・コミュニケーションズ)だってSIとしての商売もやってるわけで。
          親コメント
        • #あと、阪神大震災のときに橋脚が折れた高架橋なんかを
          #建設した業者も知りたいなあ。

          検査が手抜きな日本の役人も似たようなものでしょ。
          決まりきった場所しか調べないからあとの場所は手抜きとか。
          • by Anonymous Coward on 2004年11月14日 10時05分 (#652386)

            決まりきった場所しか調べないから

            その「決まり切った場所」の検査がやたら細かいところが納入業者にとって頭の痛いところです。やれ第三者の調査報告書の字が間違ってるだとか提出先が違うだとか、本筋とはかけ離れたところにばかりいつも指摘があります。

            特に地震や風水害に対する備えが大きく叫ばれている昨今では官公庁に対して調査を強化してほしい旨の要望が多いのですが、「調査強化」が本来意図しているはずの「様々な災害を想定し、現時点で取りうる調査を強化する」ではなく「書面での間違い探しを強化する」になってしまっているのが現状です。

            納入業者から見れば官公庁が最終顧客なので、官公庁様が満足する結果を追い求めるべく費用をかけることになるわけですが、本当の意味での安全性については官公庁の評価対象外なので、業者側の良心次第なんですよね。儲けを意識したら(企業なので当然の行動ですが)そのあたりをどうしても軽視してしまいがちです。

            親コメント
    • > 「よりセキュリティの高いもの」って何だよ? サーバ買い換えれば解決するとか思ってるのか?

      僕はこの考え、あたっていると思います。
      時として斜め上をいく考えを持つ人はいますので。
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...