「楽天市場」個人情報流出、店舗の元社員を逮捕

「楽天市場」個人情報流出、店舗の元社員を逮捕 IT Media News 2005/10/27 13:50
「楽天市場」の店舗から利用者の個人情報が流出した問題で、警視庁は10月27日、情報が流出した店舗を運営する輸入雑貨販売会社・センターロードの元社員の男(33)を不正アクセス禁止法違反の疑いで逮捕した。

 調べでは、元社員は5月中旬、楽天がセンターロードに割り当てたIDとパスワードを使い、楽天のサーバに不正にアクセスした疑い。報道によると元社員は大筋で容疑を認めており、数万件の顧客情報を入手し、名簿業者に転売したと供述しているという。

 IDとパスワードはセンターロードの役員数人が管理していたが、システム障害の普及作業時に元社員のPCを使ったため、元社員がIDとパスワードを入手したという。

 同問題で流出した個人情報は、楽天市場分が約3万6239件、ディー・エヌ・エーの「ビッダーズ」分が8456件。
 雇用がこれだけ流動化してる現代だ、さもありなんという気がするが。
個人的に総括してみると、この件から教訓を引き出すとすれば
  • そもそも顧客データをプレーンなCSVファイルで配るという、楽天のシステムの根本的な問題
  • アカウント情報を社員が辞めた後も変更せず使い続けていたこと
  • 社員のパソコンで会社のシステムを弄っていたこと
などが挙げられるだろう。
 いずれも、コンピュータセキュリティの教科書の「べからず集」に載っていそうな内容だが、意外と基本的なことも守れないものなのだよな。

 結局自己防衛しかないという事実の再確認ではある。

-付言-
 どうしても触れておかなければならないのは、楽天の元社員が10万人分うっぱらった疑いがあるという毎日新聞の7月28日付の記事である。
毎日新聞は少なくとも約1000件は流出していることを取材で確認したが、この1000件はいずれも、123件と同じ業者と取引した顧客の情報だった。このため、9万4000件すべてが流出した可能性がある。 流出した個人情報を所持していた男性は「楽天関連会社の元社員から購入を持ちかけられ、1件3000円で購入した。流出したのは足立区の業者のだけではないはずで、10万件では済まないと思う」などと証言している。
結局、今回の警察発表からはかなりかけ離れた記事だったように思うのだが、毎日新聞さん、ど~よ?

------------------- 11月14日追記

2005年11月14日14時32分 読売新聞「ネット商店“身内”不正アクセス、個人情報盗む
楽天市場の個人情報流出事件で逮捕されたのは、楽天市場に出店していた輸入雑貨販売会社「センターロード」(東京都足立区)の元社員橋本安弘容疑者(33)(葛飾区)。橋本容疑者は5月、楽天側からセ社に割り当てられていたIDとパスワードを悪用し、楽天市場のサーバーに不正にアクセスした疑いで、10月24日に逮捕されていた。アクセス後、「店舗」で買い物をした顧客の氏名や住所など計約3万6000件の個人情報を盗み出していた。

 橋本容疑者は調べに対し、セ社が同様に出店していたビッダーズのサーバーにも不正にアクセスし、「今年1~2月ごろ、約8500件の個人情報を勝手に引き出した」と認めたという。サーバーから盗み出した情報は、顧客の氏名、住所、電話番号、メールアドレスなどだった。

 橋本容疑者は当初、楽天市場のサーバーにアクセスできるIDなどの入手方法について、「会社のパソコンに不具合が起こり、(IDなどを知っている役員らが)代わりに自分のパソコンを使った際、入力されたIDなどが残っていた」と説明したが、その後の調べでウソと判明した。

 実際はセ社社員当時、両サイトのサーバーにアクセスできるIDやパスワードのセキュリティー(安全性)対策を徹底するため、「パスワード管理ソフト」を導入するよう進言。このソフトの悪用を思いつき、管理ソフトを丸ごと自分のパソコンにコピーし、IDやパスワードを盗み出していたという。橋本容疑者は、2月に同社を退職していた。

 両サイトから不正に得た計約4万5000件の個人情報について、橋本容疑者は「知人の『新宿の名簿屋』と、闇サイトを通じて知り合った別の男に、それぞれ10万円で売却した」と供述している。
 多少事実関係は違っていたようだが、結論的には変わらない。もはや「性善説」というのはズボラのいいわけに過ぎないということだ。
[PR]
by SIGNAL-9 | 2005-10-28 13:15 | 情報保護・セキュリティ | Comments(0)
<< 「異議あり匿名社会」キャンペー... 読売「異議あり匿名社会」キャン... >>