パスワードを忘れた? アカウント作成
11954148 story
プライバシ

個人情報が意図せず公開状態になっているWebサイトを発見、どう対処する? 89

ストーリー by headless
発見 部門より
本家/.「How Do You Handle the Discovery of a Web Site Disclosing Private Data?」より

私は最近、取引のある金融機関のパートナーWebサイトで、自分のものではない文書を簡単に閲覧できることに気付いた。URLに含まれる文書IDを変更するだけで、他人の計算書類が閲覧できてしまうのだ。認証などは必要なく、文書のURLだけでよい。クレジットカードの計算書を含む文書をアップロードする、オンラインリベートセンター(購入後に領収書などを送って値引きを受ける)のようなものだと考えてほしい。私はすぐにカスターマーサービスに電話し、(どう対処してよいのか当然わからずに)困惑した担当者と話をした。上司に代わるように頼み、上司は内容を把握して内部での調査を約束してくれた。私は折り返し電話をくれるように依頼したが、今のところ連絡はない。その間にも、私の個人的な財務情報は公開状態のままになっている。私はこの件に関して責任ある行動をとり、忍耐強くあろうとしているが、どのように行動すれば問題を早く解決できるのかについても考えている。スラッシュドットの皆さんなら、この問題にどう対処するだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • IPAに連絡 (スコア:5, 参考になる)

    by Anonymous Coward on 2015年03月08日 14時40分 (#2773917)

    http://www.ipa.go.jp/security/todoke/index.html [ipa.go.jp]
    下手に直接連絡すると不正アクセスしたと訴えられかねん

    • Re:IPAに連絡 (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2015年03月08日 14時58分 (#2773924)

      基本的には個人で問い合わせるよりも、IPA経由の方が迅速な対応が期待できますね。
      IPAでも最低限の確認はするでしょうから、サイト運営側も最初から信頼性のおける情報として接することができるでしょう。

      親コメント
      • by Anonymous Coward on 2015年03月08日 15時22分 (#2773929)

        迅速云々よりも、少なくとも日本だとURLを手書きしてアクセスしたら不正アクセスになるから、自分の身を守るためにも対策が必要。

        親コメント
        • by Anonymous Coward

          不正アクセス防止法は「他人のアカウントを利用する」「本来権限のない情報にアクセスする」といった要件がある。
          権限の設定が誤っている場合は対象にならない。
          その情報の使い方によって業務妨害と見做されたりすることはありえることだが。

          この場合はサイト管理者の方が個人情報保護法違反で刑事罰をくらう可能性がある。

          • by Y-taro (38255) on 2015年03月08日 20時50分 (#2774073)

            個人情報保護法に直罰規定はありませんよ。

            親コメント
            • by Anonymous Coward

              ここって、本質じゃないところにだけ食いつく人が多いよね。
              文法エラーだけ指摘するコンパイラみたい。

              • by Anonymous Coward

                本質だろ?
                お前が本質を知らないだけ。

          • by Anonymous Coward on 2015年03月08日 15時46分 (#2773939)

            最終的にそうなるとしても、個人が企業から訴訟を受けるリスク考えるとどの道危ないんですよ。
            無理解な企業も、警察も、司法も、皆が無知ゆえに敵となる場合がある。

            親コメント
            • by Anonymous Coward

              本気でそう考えてんの?

              ちゃんとInternetExplorer6でサイトを巡回してるかい?
              よくわからんブラウザで巡回してると、無知な企業から訴えられる可能性も、当然考慮してるよね?

              • by Anonymous Coward on 2015年03月08日 23時07分 (#2774118)

                報告するときに身を守れって話なんだからIEだろうがなんだろうが関係ないよ。
                無知な企業は自分の過失を他人の攻撃とか寝言ぬかして襲い掛かってくるから、
                最低限IPAのような窓口を盾にして行動しないと責任転嫁の生贄にされかねない。

                普段の巡回の場合、その手の技術に疎い連中はアクセス履歴を調査して異常を検出したり、
                異常が起きた時の利用者を特定する技術にも疎いだろうから、システム落としたりしなけりゃ割と平気だろう。
                被害者面した加害者がぶっ飛んだ行動するとLibrahackみたいな事件に至る場合もあるが、
                あの場合はシステムダウンその他いくつか不幸な要素が重なった故の事故で、日常的に起こる事故ではない。

                親コメント
              • by Anonymous Coward

                無知なのはお前。
                欠陥があったら違法行為をしていいなんてのはガキの理屈。
                あんた自宅の鍵掛け忘れたら泥棒に入られても訴えないんだな?
                確約できんの?

                被害者の不注意は刑法犯を免責しない。
                過失相殺があるのは民事な?

              • by Anonymous Coward

                道路交通法の場合だと、視認性の損なわれた標識に気付かず進入禁止に違反した件が不処分になってますな。

              • by Anonymous Coward

                道路交通法の場合だと、視認性の損なわれた標識に気付かず進入禁止に違反した件が不処分になってますな。

                それは犯罪の故意が成立しないからだから。
                避けることが不可能だから罰されないだけ。

                不正アクセスは無理。
                偶然じゃなく故意にアドレス探ってるからね。
                不正アクセスしてしまう可能性を知りながらやってるから全く状況が違うから。

              • by Anonymous Coward

                そうだとすると、例えばGoogle検索で開いたページが「本来見えてはいけないアクセス制限されたページ」だったとしても、1発目はセーフになるのだろうか。

                #単純に興味ある

              • by Anonymous Coward

                被害者側の瑕疵でアクセス制限が機能していなくても?
                そこを無視できるようなことを言うからおかしくなる。

              • by Anonymous Coward

                未必の故意か重過失かはその時の状況による。
                前後のアクセス履歴と付き合わせれば悪意を持って粗探ししてた証拠になるし。
                悪意を持って検索し続けてて、後から「たまたま」と言い張っても無駄だから。

              • by Anonymous Coward

                アクセス制御が機能しているかどうかを決める権利は被害者にある。
                加害者には無いから。
                アクセス制御が完全に機能してなければ盗んでいいというのは犯罪者の論理。
                アクセス制御をしようとしていた証拠があるだけで被害者は保護される。
                法律には、アクセス制御機能の定義があるから。
                お前の理想通りじゃなければアクセス制御ではないというのは法廷では通用しないから。

              • by Anonymous Coward

                故意でなければ。
                基本的に過失は罰しない。
                不正アクセス禁止法も過失は罰しない。
                #道交法の進入禁止は過失も罰するけど

              • by Anonymous Coward

                だから、鍵をかけるつもりがあったかどうかなんて本人にしかわからんだろ。
                アクセス制御をするつもりがあったかなかったかではなく、アクセス制御があったかなかったかだ。
                瑕疵でアクセス制御が機能していなかったならそれは「アクセス制御はなかった」だ。

              • by Anonymous Coward

                無理無理。仕様書出されて有罪確定。

          • by Anonymous Coward on 2015年03月08日 15時59分 (#2773946)

            Librahack事件という汚点が日本の警察にはあるからねぇ。

            親コメント
            • by Anonymous Coward on 2015年03月08日 16時25分 (#2773956)

              あとはACCS裁判とか。

              親コメント
              • by Anonymous Coward

                あれが有罪にならない国とかあんの?
                ちなみにそれどこ?

              • by Anonymous Coward

                逆に、同じ類型の事件が起きて、実際に有罪判決が出ている国ってそんなに一般的なの?

              • by Anonymous Coward

                URLとパスワードに法的な区別があるのか思っちゃったの?
                法律にパスワードって言葉でも出てくると思っちゃったの?

              • by Anonymous Coward on 2015年03月08日 22時34分 (#2774109)

                逆に、同じ類型の事件が起きて、実際に有罪判決が出ている国ってそんなに一般的なの?

                U.S. C. § 1030 a.k.a. CFAA
                (a) Whoever—
                (2)intentionally accesses a computer without authorization or exceeds authorized access, and thereby obtains—
                (C)information from any protected computer;
                https://www.law.cornell.edu/uscode/text/18/1030 [cornell.edu]

                親コメント
          • by Anonymous Coward

            法律にはアカウントなんて概念は出てこないけど。ちゃんと読んで来いよ。
            「他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」に相当するので違法だよ。
            識別符号はIDともパスワードとも限らず、Cookieや、URL中のセッション番号でも良い。
            そしてアクセス制御機能は設計されている証拠があれば、欠陥があろうとも無かろうともアクセス制御機能が成立し、不正アクセス禁止法で保護される対象になる。
            アクセス制御機能に欠陥があるなら保護されないなんて理屈が通るわけ無いだろ?
            有罪になる人間が居なくなる。

            • by Ooty (29466) on 2015年03月09日 0時54分 (#2774150) 日記
              > 識別符号はIDともパスワードとも限らず、Cookieや、URL中のセッション番号でも良い。

              細かく条件はありますが、とりあえず「識別符号」とは、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号 」のようです。

              大抵の場合、利用規約でパスワードは利用者の責任で秘密にすることが求められていますが、Cookie やセッション番号についても秘密にするように言及されているものも多いのでしょうか?
              親コメント
          • by Anonymous Coward

            アクセス制御機能は、わずかにでもアクセス制御機能として設計された痕跡があれば成立するから。
            完璧に機能しなければアクセス制御機能では単なる無いなんてのはお前の思想であって、他人に押し付けるなよ。
            お前の思想に合わない相手からは情報を盗んでいいのか?

            法律には「完璧に機能しないものはアクセス制御機能ではない」なんて書いてないからな。

    • by Anonymous Coward on 2015年03月08日 15時21分 (#2773928)

      やっぱちゃんとした組織に言うしかない。
      むしろこんなとこ(スラド本家)で話題にしたら、いざ問題が公になった時投稿者まであらぬ疑いをかけられかねない。
      「(何とはいわず)セキュリティ問題を見つけたがどこに連絡すればいいか」と聞けばいいのだから。

      親コメント
    • by Anonymous Coward

      内部で見つけた場合は巫女メソッド
      外部で見つけた場合は巫女メソッドに期待
      SNSで巫女メソッド見かけたら援護

      # 炎上必死

    • by Anonymous Coward

      個人がやったら不正アクセスになることでもIPAがやったらならないなんてことは一切ないのに不思議な話だ。
      大事なことだからもう一度言うがIPAには不正アクセスの調査に関して別に警察のような特別な権限は一切与えられていない。

      • by Y-taro (38255) on 2015年03月08日 20時44分 (#2774071)

        IPAは、届出を受けた脆弱性情報について、必ずしも実際に当該脆弱性にアクセスして確認しているわけではないと思いますが、仮に当該脆弱性にアクセスする行為があったとしても、一般人よりは違法性が阻却されるとの評価を受けやすいように思いますよ。
        IPAの脆弱性情報受付業務は、法令に基づいて行っているわけですから。

        (業務の範囲)
        第二十条
         機構は、第十条の目的を達成するため、次の業務を行う。
        五  情報処理に関する安全性及び信頼性の確保を図るため、情報処理システム(電子計算機及びプログラムの集合体であつて、情報処理の業務を一体的に行うよう構成されたものをいう。)に関する技術上の評価を行うこと。
        情報処理の促進に関する法律 [e-gov.go.jp]第20条第5号

        (高度情報通信ネットワークの安全性の確保等)
        第二十二条
         高度情報通信ネットワーク社会の形成に関する施策の策定に当たっては、高度情報通信ネットワークの安全性及び信頼性の確保、個人情報の保護その他国民が高度情報通信ネットワークを安心して利用することができるようにするために必要な措置が講じられなければならない。
        高度情報通信ネットワーク社会形成基本法 [e-gov.go.jp]第22条

        I.主旨
         本基準は、ソフトウエア等に係る脆弱性関連情報等の取扱いにおいて関係者に推奨する行為を定めることにより、脆弱性関連情報の適切な流通及び対策の促進を図り、コンピュータウイルス、コンピュータ不正アクセス等によって不特定多数の者に対して引き起こされる被害を予防し、もって高度情報通信ネットワークの安全性の確保に資することを目的とする。
        ソフトウエア等脆弱性関連情報取扱基準 [meti.go.jp](平成26年経済産業省告示第110号)I

        一、経済産業大臣が別に指定する受付機関について
        1.名称 独立行政法人情報処理推進機構
        ソフトウェア等脆弱性関連情報取扱基準に基づき経済産業大臣が別に指定する受付機関及び経済産業大臣が別に指定する調整機関を定める件 [meti.go.jp](平成21年経済産業省告示第223号)一の項

        (正当行為)
        第三十五条
         法令又は正当な業務による行為は、罰しない。
        刑法 [e-gov.go.jp]第35条

        親コメント
        • by Anonymous Coward

          法に定められた正当業務行為だから問題ないね。

      • by Anonymous Coward

        このツリーにもいっぱいコメントが付いているような知ったかぶりから身を守るのに極めて有用。

      • by Anonymous Coward

        権限の問題じゃなくて、身分の問題です。
        セキュリティ問題に無知な民間企業の担当者が

        1.どこの馬の骨とも知れない個人に脆弱性を指摘された
        2.公的機関に脆弱性を指摘された

        指摘した相手が個人の場合、聞く耳持たずに犯罪者扱いする危険性が高いってこと。
        逆に、役人の言うことなら聞き入れるって人はそれなりにいますからね。

  • by Dobon (7495) on 2015年03月08日 15時33分 (#2773936) 日記

    >URLに含まれる文書IDを変更するだけで
    この操作が、不正アクセスと見なされかねないので、直接連絡はしません。
    IPAも、匿名での通知は受け付けていないらしいので…
    http://www.ipa.go.jp/security/vuln/report/sample_web.txt [ipa.go.jp]

    自分の文書を削除してアクセスできない事を確認したら、そのまま放置、かな?面倒だし。
    (削除後も見れるようなら、削除されるまで苦情をいれるけど)

    # 匿名で掲示板に公開ってのが、実は一番効果があるのかも。情報は漏れるけど
    # tor経由で、どっかの掲示板に書き込むのが正解なのかも。

    --
    notice : I ignore an anonymous contribution.
    • by Anonymous Coward

      URLでのアクセスだから、それだけで元データを削除するのは不可能でしょう。
      もし可能でも、それこそ不正アクセスです。

      この情報って、解約したら消えるとは限らないし、
      「『こうしたら』見えるんで削除してくれ」というのも問題だし。

      >匿名で掲示板に公開
      むしろ何かあった時に犯人にされちゃうよ。

  • by Anonymous Coward on 2015年03月08日 19時24分 (#2774033)

    意図して公開しているとしたら、指摘するだけ野暮かもしれない。
    と思ってしまい、指摘できない。

  • by Anonymous Coward on 2015年03月08日 18時01分 (#2774011)

    公官庁関係(*.go.jp)にページに
    ・氏名
    ・メアド
    ・住所
    ・電話番号
    などがバッチリ出ていて、怖くなって直接連絡しました。

    ある展示会のアンケートの結果で、百数十名が羅列されていました。
    こちらは実名で本アドレスで連絡しましたが、一ヶ月以上対処がなされず。
    その後、削除されましたが、謝意もなくなんだかなあと憤ったことを思い出しました。

  • by Anonymous Coward on 2015年03月08日 19時07分 (#2774024)

    どうすればいいものか、
    というか、実際に過去に見つけたのだが、自社担当部分じゃない箇所ではあったにも拘らず、上司は
    「うちの責任だと誤解されるから客には報告しなくていい」
    と。
    しょうがないからボランティアで修正しときましたが。

    まぁ、こういう意識では日本ではセキュリティ意識はなかなか育たないですよね。
    別ストーリーで公認ハッカー(使い捨て)みたいな話もあるし。

    • by Anonymous Coward

      担当会社にぶん投げろよ…
      客を挟んで対処させたり、横殴りに修正するのはそれ試してからでいい。
      てかその辺始末付けとかないとロールバックされる恐れもあるんじゃ?

  • 私ならこの内容を次のように二つに分けて考えます

    1 自分の情報が承諾のないまま公開されているということ
    2 他者の情報を閲覧しうるということ

    1については、情報の掲載者に対して通知をします。
    削除せよ、対策を講じろなど、状況によっていろいろでしょう。

    2については少しやっかい。

    そもそも「閲覧しうる」というのをどうやって確かめたのか聞かれたらなんて答えるんでしょう。
    「たまたま」見えたと言っても「文書IDを変更する」という行為の正当性の証明が難しいですね。
    まあ、IDを打ち間違えた、とでも言うしかないでしょうが、うっかりすると不正アクセスととられかねません。
    「こうすれば見えるはず」という可能性を指摘しただけで実際に行ってはいない、というのは少し無理があるかな。

    この場合とは違いますが、制限がありそうにみえてその実、URLを知っている人なら誰でも見られるサイトはけっこうありますね。
    たとえばYouTubeの限定公開も、制限があるわけじゃなくてURLを知っていれば誰でも見ることができますよね。
    「限定」の言葉でセキュリティがかかっているように誤解する人もいると思います。

    --
    ---- sinbo
  • by Anonymous Coward on 2015年03月08日 14時54分 (#2773923)

    されちゃうのが悲しいけど今の時代なんだよね

  • って言ったらアリじゃないかしら?

  • by Anonymous Coward on 2015年03月08日 19時18分 (#2774030)

    盗む側に回る

    いや盗むって言わないよな
    落ちてるものを拾っただけ

    • by Anonymous Coward

      落ちてるのかどうかを決める権利はお前には無い。

      • by Anonymous Coward

        いや、よく考えたら拾った事にすらならない
        元のものは元の場所にそのまま残っているわけで

        すごいな。丸儲けじゃないか・・・
        サイト運営者に教えてやる義理なんて無いだろ

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...