<   2005年 07月 ( 12 )   > この月の画像一覧

楽天市場店舗からカード番号含む個人情報流出2

 楽天からの情報流出に関して、楽天自身の発表によれば、
新たな情報は、全てご連絡済みの店舗(株式会社センターロード、代表取締役 嶋田信弘 本社:東京都足立区 店舗名:AMC http://www.rakuten.co.jp/amcamc/ )一店舗に限られ、その他の店舗については確認されておりません。

これまで調査したところでは、弊社内部から流出した可能性は限りなく低いとの結論に達しています。

一方、楽天内のAMCのページでは現在のところ、スパイウェア等に代表されるサイトへの不正アクセスによるものなのか、楽天市場関係会社によるものなのか、弊社内よりの流出によるものなのか特定ができていない…としている。

 責任の擦り合いのチキンレースのようにも見えるが(^^;;;)

楽天の情報流出、加盟店でのカード情報管理体制が明らかに ITProニュース 2005/07/26 本間 純=日経コンピュータによれば;
楽天市場の加盟店「AMC」を利用した顧客の個人情報が流出した事件(楽天の発表、関連記事)で、AMCがクレジットカード情報をどう扱っていたかが明らかになった。AMCは楽天市場の店舗管理システムから、CSV形式の表計算ファイルとしてカード情報を含む顧客情報を一括ダウンロードしていた。情報の流出経路は不明だが、このファイルが何らかの形で外部に漏れ出した可能性が高い。

 楽天市場の加盟店は、商品の在庫管理や注文情報の確認のために楽天市場の店舗管理システムを使っている。これまで、顧客カードの与信確認は、楽天側ではなく、加盟店側で行うのが一般的だった。多くの加盟店はこのシステムを使って取引ごとに顧客のカード番号や有効期限を入手し、決済端末などを使って与信確認している。
 しかし、取引の多い一部の大規模店舗は電子モール運営元の楽天から特別な審査を受けた上で、自社の顧客のカード情報を一括ダウンロードする権限を得ている。自前の与信確認システムにカード情報を一つひとつ入力する手間を省くためだ。AMCも、こうした権限を持つ加盟店の1社だった。

 CSV形式の表計算ファイルつーことはプレーンテキストかぃ!
それで顧客情報のコピー配布って、どういう設計なんだろうか

 ここから漏れたのでないにせよ、そういうデータの扱いをやっていたという責任自体は決して言い逃れられることではなかろう。「システム切り替え中だったんで」なんて言い訳にもならんよ。


以下余談。

「取引の多い一部の大規模店舗」用の特例だったようだが、問題のAMCというのはどんな会社なのかな?と思ってぐぐってみた。

 AMCの広告がここにあるが、
社長いわくは「私共の本社はアメリカなんです。ご存知の通りアメリカでは日本以上に通信販売が盛んで、その需要に応えるべく中国に自社の生産ラインを持っております」

 さらに漁って見ると、「有限会社」センターロードの情報がここで見つかった(他にも迷惑メール撲滅私的調査会のログでも見つかるが(笑)。ちなみに、楽天には出店店長のインタビューのページがある。AMCの店長のページは店長インタビューVol.28のはずだが、Vol28だけは消されている

 責任者の名前が一致するので、おそらく株式会社化以前の情報なのだろうが、ここには
「当社では、米国ロサンゼルスに本社を持ち、米国内のビッグホールセラーのライセンスを取得しており、通常、日本国内の卸問屋、小売店を顧客としているからです」となっている。

 本社はアメリカのロス?ということは、ロゴの左に描いてある "American Merchandise Concept Inc"というのがアメリカ本社の名前? これでぐぐってみても日本のページしかヒットしないのだが…。よほど小さい会社なのかなぁ。それとも…?
[PR]
by SIGNAL-9 | 2005-07-29 18:12 | 情報保護・セキュリティ | Comments(0)

楽天市場店舗からカード番号含む個人情報流出

楽天市場店舗からカード番号含む個人情報123件が流出 ITmedia news 2005/07/23 23:55 更新
「楽天市場」に出店している1店舗から、クレジットカード番号を含む123件の個人情報が流出。カードの不正使用は見つかっていないという。楽天は警察に相談し、流出経路を調べている。
続報ではだんだん流出件数が多くなる。

「楽天市場」個人情報流出が拡大 ITmedia News 2005/07/28 09:11 更新
楽天は7月28日、「楽天市場」の店舗から流出を確認した個人情報は、これまでから161件増えて284件になったと発表した。「7万~10万件が流出した可能性がある」とした一部報道に対しては「事実関係は確認されていない」とした。
7万~10万件を報道したのは、どうやら毎日新聞のようだ。一部のデータを入手したとの記事がある。

毎日新聞の記事では、1店舗どころか楽天関連会社の元社員がうっぱらったらしい、というのだ。

楽天市場:顧客情報10万件流出か 1件3千円で男性購入 毎日新聞 2005年7月28日 3時00分
毎日新聞は少なくとも約1000件は流出していることを取材で確認したが、この1000件はいずれも、123件と同じ業者と取引した顧客の情報だった。このため、9万4000件すべてが流出した可能性がある。 流出した個人情報を所持していた男性は「楽天関連会社の元社員から購入を持ちかけられ、1件3000円で購入した。流出したのは足立区の業者のだけではないはずで、10万件では済まないと思う」などと証言している。


楽天市場:流出データには下着の色やサイズまで 毎日新聞 2005年7月28日 3時00分
「カラー…ブラック&レッド」。インターネット上の仮装商店街「楽天市場」から流出した顧客データには、注文した下着の色やサイズまで記入されていた。クレジットカード番号を含む20項目以上のデータが入った情報を購入した関係者の一人はデータを示しながら「流出データは10万件以上のはずだ」と語った。別の関係者は「詐欺目的で購入した」と証言。

関東地方の振り込め詐欺グループの関係者は今年5月末ごろ、「楽天の関連企業を辞めた」とされる人物から大量の顧客情報の購入を持ちかけられた。同時期、関西の暴力団関係者にも同一人物からの働きかけがあったという。合わせて50万件以上が売却されたという情報もある。

楽天は「カードの不正利用は確認されていない」としているが、関係者の一人は「カードの支払いは約1カ月後だから、被害が発覚するのはこれから」と話している。
 現時点では、毎日の取材がどの程度正確なものなのかは不明だが、モノがクレジットカード情報なだけに、もしもこの記事どおりだとすると大騒ぎになりそうな悪寒。
[PR]
by SIGNAL-9 | 2005-07-28 10:18 | 情報保護・セキュリティ | Comments(0)

「マンガ嫌韓流」を読んでみた

 Amazonで予約一位だった「マンガ嫌韓流」であるが、通りがかった書店に平積みされていたので一冊購入し読んでみた。
c0071416_1346256.jpg

 俺はこの方面にまったく無知であり、内容の当否に関して何事か語る資格はないことは自覚している。すまん、単に好奇心から買ってみただけだ。

 で、そういう立ち位置からの感想であるが;

 装丁から想定される(わ。駄洒落だ)ほど「危険」でもなきゃ「問題作」でもないではないか。

 看板に偽りありとまではいわないが、思った以上に穏健な内容なので、実はいささか拍子抜けした。

 作者の目線は(多少バランス取りに苦労されているような感じもあるが)、「韓国」自体よりも「正確な情報を伝えないメディア」や「勉強不足な国民」に向いており、その意味では「嫌韓・流」ではなくて「嫌・韓流」という印象である。

 マンガという表現手段での社会批評といえば小林よしのりの一連の著作が思い浮かぶが、「絵」の「武器」としての使い方も、小林に比較すれば穏健と感じた…まあ確かに画力の問題はあるだろうが(笑)

 全体の構成も、殆どが解説・ディベート場面であり、「学習マンガ」の趣。
 その意味では「マンガとしての論評」はさして意味がないと思う。つーか、「絵が下手」だの「ストーリ皆無」だの「描写が悪意」だのというどーでもいい批評なら無い方がマシだわな。そーゆー目的のモノではないんだから。

 逆に言えば、「マンガ」的でない分、作者の主張が検証可能(=反証可能性がある)なものとして提示されている部分が多い。
 まあ、テーマがテーマなだけに批判者も出てくるだろうが、カバーとか引き文句みたいな宣伝部分の印象だけで「差別だ右翼だ歴史修正主義だ」的な「レッテル貼って読まずに非難」ではなく、内容に関して、資料を基にした実のある対論を期待したいものである。

 …と、期待はしてみたものの、「無視・黙殺」つーこともあるのだろうな(笑)。
長い目でみりゃあそれは、この本をおもしろくないと思っている人たちにとっては最悪の選択だと思うが。
 マンガという「体裁」の訴求力は、バカにできないからねぇ。
[PR]
by SIGNAL-9 | 2005-07-27 13:49 | 一般の話題 | Comments(0)

顧客の個人情報紛失、287金融機関・678万件:金融庁調査

 7/6のエントリでも触れた、金融庁が行った金融機関対象の個人情報紛失調査だが、結果が出たようだ。

顧客の個人情報紛失、287金融機関・678万件 2005年7月22日11時56分 読売新聞
伊藤金融相は22日の閣議後会見で、287の金融機関が合計678万件の顧客の個人情報を紛失していたとする調査結果を発表した。

「調査対象は銀行と保険会社、証券会社の計1069の金融機関で、顧客情報を紛失した金融機関は、全体の26・8%だった。」



 全体の4分の1の組織で、「なくなっちゃた」わけだ。しかもこの紛失は「いずれも個人情報保護法の施行前に起きていた。」とのことだから、四月以降の事例はこの中には含まれていないつーことだな。

 なんとなく怪しいなぁ(笑)

 ホントは四月後に起こったことでも、施行後だとマズイから四月前ですって報告しちゃうってことはないのかなぁ。邪推だけど。

 金融系なんて情報管理がいちばんしっかりしてそうなところなのになぁ。
 これがズサンなのか、それともこれはマシな方で他の業種はもっとひどいのか…
[PR]
by SIGNAL-9 | 2005-07-22 13:44 | 情報保護・セキュリティ | Comments(0)

情報漏えいの賠償・不正アクセス対策費用も補償の保険

情報漏えいの賠償に加え不正アクセス対策費用も補償、日立らがオリジナル保険 ITmedia 2005/07/19 20:25
日立製作所と損害保険ジャパン(損保ジャパン)、日立保険サービス、損保ジャパン・リスクマネジメントの4社は7月19日、日立のセキュリティ製品群「Secureplaza」の顧客を対象としたセキュリティ保険「Secureplaza保険」を共同で開発し、販売を開始した。

 なんでも保険になるのだな。

 損保ジャパンは既に入試ミスや情報漏えいなど、学校のリスクを総合的に補償する保険 日経bp 2005年07月12日のような商品もはじめたようだ。
  • 個人情報が漏えいした場合の損害賠償金、訴訟費用
  • 顧客対応をはじめとするブランドプロテクト費用
  • 一般的な個人情報漏えい対応保険では補償外だったウイルス/不正アクセスへの対策費用
  • 破壊されたプログラム/データの再作成費用
  • 特約(オプション)として、コンピュータシステムやネットワークの中断、データの消去などによって業務に支障が生じた場合の、第三者への損害賠償金
  • 別メニューとして、不測の事態が生じた場合のマスコミ対応などを支援する「クライシス・コミュニケーション・コンサルティング」

手広くやってくれるようだが、コスト的に見合うのかどうかの判断は難しいところかもしれない。保険会社側としても査定するのも大変なような気もするが。

保険料は個別見積もり。ただし、日立のセキュリティノウハウを活用した専用ツールを用いて事前にヒアリング/リスクレベルを評価し、割引料を算出する。高いセキュリティ対策が施されている企業には最大で半額以下にまで保険料割引を行うという。

なるほど。
結果的にほとんど割り引かれないとなったら、その会社のIT屋さんは面目丸つぶれだな(笑)

 …つーか、査定を行う日立自体が漏えいさせたらおもしろいかも(←悪い冗談)
[PR]
by SIGNAL-9 | 2005-07-20 16:07 | 情報保護・セキュリティ | Comments(0)

個人情報狙う不審な通信 増加

個人情報狙う不審な通信 増加 NHKニュース 07/16 05:05
ネット上では、コンピューターに不正にアクセスしようとする信号が今では日常的に流れていますが、インターネットのセキュリティー対策に取り組む「JPCERTコーディネーションセンター」によりますと、信号の量は5日前の今月11日から増え、通常の6倍に上っているということです。この信号は、顧客情報などを納めた企業のデータベースに向けて送られ、情報管理の甘い点を探るのが特徴で、主に中国や韓国から発信されているということです。同じ信号は今年5月にも増加が観測され、その時には家電製品の価格を店ごとに比較できる「価格.com」など複数のホームページから個人情報が盗み取られる被害が相次いでいます。このためJPCERTは、対策が甘い場合、こうした信号によって察知され個人情報が盗まれるおそれがあるとして、企業のコンピューターの管理者にセキュリティー対策を徹底するよう呼びかけています。

JPCERTのレポートは<<< JPCERT/CC Alert 2005-07-15 >>> TCP 1433番ポートへのスキャンの増加に関する注意喚起

ここで紹介されているISDAS アクセス元地域別ポート指定グラフ TCP 1433 (2005/7/8-7/15)が分かりやすいと思うが;



確かに爆増である。

ちなみに4月の警視庁のレポート(PDF)を見たときには、3月から4月にかけて総数は減少傾向かと思ったのだが、内容的には全体の半分以上を占めている中国発の不正アクセスが4月には減ったというのが原因だったようだ。
 一休みしてたけど、夏になってまた盛り返したつーことか(笑)

 TCP/1433つーことはたぶん MS SQLServer狙いなのだろう。それだけで「個人情報狙い」と断言しちゃうNHKはどうかと思うが、まあ、最近大きな事件が相次いだこともあるしな。個人的には情報窃盗目的というよりは破壊工作を意図したものなんではないかなぁと思うのだが。

 まあ今時インターネット側で1433丸開きみたいなバカなサーバはなかろうが、自分では最高レベルだと豪語していたセキュリティが実はそうでもなかったという事例もあるので、注意注意(笑)

 しかし、自国民にはアクセス制限は厳しくかけるけど、外に対する不正行為はスルーなのかね、中国って国は???
 
同じ検閲システムで外に対する不正行為も検閲すりゃいいだろうに(爆)
[PR]
by SIGNAL-9 | 2005-07-16 12:07 | 情報保護・セキュリティ | Comments(0)

昨年度の個人情報漏えい、6倍増の405件

昨年度の個人情報漏えい、6倍増の405件 2005年7月14日19時53分 読売新聞
国民生活審議会(首相の諮問機関)の個人情報保護部会が14日開かれ、2004年度に、経済産業省や金融庁などの各省庁が所管する事業者から報告を受けた個人情報漏えい件数は計405件だったことが報告された。

 03年度に各省庁がつかんだ個人情報流出件数(66件)の約6倍に達しており、個人情報の漏えい事件が多発している現状が改めて裏付けられた。同部会では、今年4月の個人情報保護法の全面施行を受け、各省庁が個人情報保護の取り組みを強化していくことで一致した。

 04年度の漏えい件数のうち、被害人数が「500人以下」のケースが291件と全体の7割以上を占めたが、「5万1人以上」の大規模事件も11件あった。

 原因別では、情報を管理している社員(委託先含む)が、顧客データの紛失などの不注意で情報を漏らしたケースが263件と全体の65%を占め、情報管理に対する意識の低さが浮き彫りになった。社員または第三者が意図的に個人情報を漏らしたケースは計80件だった。


 「報告を受けた」数ベースで一年で6倍というのは、「実数」として増加しているのか、それとも単に今まで気にも留めていなかったり隠されていたりしていた「紛失」や「盗難」が報告されるようになった結果の増加なのか、実態はよく分からないが、まあ、「両方」なのだろう。

 多分今までも報告されなかった多くの事例があったのだろうし、コンピュータ利用の拡大に伴い実数としても増えているのだろう…というか、「減る」要素というのが考えられない(笑)

 「各省庁に報告のあった」ものだけの集計だから、その他大部分の事業者ではどーゆーことになってるのやら。いわゆる「氷山の一角」で、「無くなっても気づいていない」「無くなっても気にしない」ってのがかなりの数なのではないか。
 認識されない問題は問題ではない。いわゆるダチョウ・アルゴリズムってやつだ。違うか。

各省庁が個人情報保護の取り組みを強化していくことで一致した。

 まぁ、ねぇ。もっとガチガチで罰則も厳しくしないと「減らない」と思いますよ。

 しかし一方では、いわゆる「個人情報」というのが、そうまで<コスト>をかけて「守らなきゃならない個人情報」なのかどうかは、そろそろ区別が必要なのかもしれない。ここでいうコストつーのは、企業それぞれの情報保護に対する投資ももちろんだが、取り締まりとか公知・報道に費やされる社会的コストも含んでの話だ。

現在はまだミソクソいっしょ、みんなまとめて「個人情報」という言葉で括っているが、「漏れても大した問題にはなりそうもない」類の「個人情報」というのも現実にはあるはずだ。データの「中身」によってかけられる妥当なコストつーのは変わるであろう。

 「後で使えるかもしれないからなんでもかんでも情報として集めとけ」と安易に判断するような企業、「また【個人情報】漏れか!」と記事にするマスコミとか役所とかブロガー(俺だ^^;)も、ちょいと冷静に「個人情報データの中身」の吟味・議論をはじめる時期だと思う。

 つーか、個人情報漏洩・流出というのは実は「よくある事」だという認識をまず持つことが必要なのかもしれない。
[PR]
by SIGNAL-9 | 2005-07-15 13:18 | 情報保護・セキュリティ | Comments(0)

zlibに脆弱性

データ圧縮ライブラリ「「zlib」に脆弱性--広範な影響のおそれ (CNET Japan) - 7月8日12時30分更新
セキュリティ監視会社のSecuniaが米国時間7日に出した警告によると、オープンソースの「zlib」コンポーネントにバッファオーバーフローを引き起こす脆弱性が存在するという。この脆弱性には、攻撃者が特別に用意したファイルを使って、コンピュータを乗っ取ったり、zlibを利用するアプリケーションをクラッシュさせたりするおそれがあると同社では説明している。

Gentoo Linuxのセキュリティ監査チームのメンバーで、この脆弱性を発見したTavis Ormandyは、電子メールでインタビューに答え、「zlibは、Xboxから携帯電話やOpenSSHまで、ほとんどすべてのもので利用されており、潜在的な影響はかなり大きい」と述べている。

 Secuniaによると、この欠陥はzlibのバージョン1.2.2で報告されているが、それ以前のバージョンにも影響があるかもしれないという。


うぅわっちゃー

 こりゃ影響でかそうな…つーか、俺も常用してるし(笑)

アドバイザリzlib "inftrees.c" Buffer Overflow Vulnerability(CVE :CAN-2005-2096 (under review) )によると、inftrees.c(デコード用のハフマン木作る奴だっけ)のバウンダリエラーで、変なデータ食わせるとクラッシュさせたり任意のコードの実行が可能になるつーことのようだ。バージョン1.2.2以前のはマズいつーことだが、俺の使ってるの1.2.1だよ、とほほほほ。

 まあ、俺みたいに個人的なソフトは、zlibのバージョンアップかパッチで対応できるだろうけど、zlibを使ってるアプリ一覧をみると、3DMax, Adobe Illustrator, Photoshop,GIMP,ICQ,ImageMagick、Internet Explorer,Mozilla,Opera,Microsoft Office,Norton AntiVirus…といった超ビッグネームが並んでいる。おまけに大抵は共有DLLじゃなくってobjリンクしてるだろうから、各ベンダそれぞれの対応が必要だろうと思う。もちろん実装はそれぞれだろうから全部が全部脆弱性内在ではないだろうが、これほど広範に使われてるライブラリだと影響もでかいなぁ。

 本日時点ではExploit codeが出てるかどうかわからないが、inftree.cは455行かそこらのソースなんで、そういう目で見りゃあ問題の特定も攻撃の方法も分かりやすかろう(俺はやらないが)。

 各ベンダの早めの対応を期待したい…が、最終的には自己防衛しかないんだが
[PR]
by SIGNAL-9 | 2005-07-08 14:56 | 情報保護・セキュリティ | Comments(0)

カカクコム事件-新たな展開か?

中国人留学生の郁華容疑者の一連の事件、徐々に記事が出てきたが、個人的に
おやぁ~
と思ったのは、この記事。

カカクコムのサイト攻撃、中国からも 2005年07月07日16時33分 asahi.com

記事を要約するとこういうことである。
  • カカクコムのサイトは5月11~14日に集中的に攻撃された。
  • ハイテク犯罪対策総合センターがカカクコムのサーバーの接続履歴を調べたところ、この攻撃の中には中国国内にあるサーバーから発信されたものもあった。

 一方、中国人留学生の郁華容疑者(27)はカカクコムが集中攻撃される前の4月中旬と5月初旬に侵入していた。だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。

ようするに、郁華容疑者は、例の事件の前にすでに侵入していた。おまけにその時点では誰でも侵入できるような状態だった…ということだな。

こりゃあ、ずいぶんカカクコムの発表と違うではないの。

ツーと、何?郁容疑者がかっぱらった分「9万件」と、カカクコム発表の「メールアドレス流出が2万2511件」は別な事件なわけ? しかも「不正アクセス禁止法の要件を満たさない」ほどセキュリティがかかってない丸腰システムだったとの警視庁認定ですか?

まあ、MDA結ばないと取材には一切応じない(そりゃ取材にならんわ^^;)一部上場企業カカクコム様からは情報開示は期待できんであろうが、もし俺が被害当事者だったらすぐに訴えたいような気もするなぁ(笑)
[PR]
by SIGNAL-9 | 2005-07-07 18:11 | 情報保護・セキュリティ | Comments(0)

今週の個人情報紛失(笑)

金融庁の五味広文長官は「法令違反が出てくれば、その原因と程度に従った行政措置を検討する」といって調べさせたようだが、この点検命令で出るわ出るわ。

みちのく銀が大量の個人情報紛失、他の地銀でも相次ぐ (2005年7月1日22時50分 読売新聞)

地方銀行のみちのく銀行(本店・青森市)は1日、計約3万9000人分の氏名や口座番号、預金残高などが記されたフィルムや内部資料などを紛失していたと発表した。
 
 このほか、地方銀行では1日、栃木銀行(同・宇都宮市)が約6万6000人分、神奈川銀行(同・横浜市)が約4万8000人分、足利銀行(同・宇都宮市)が約3万1000人分、大光銀行(同・長岡市)が約2万2000人分、東和銀行(同・前橋市)が約1万7000人分、北越銀行(同・長岡市)が約1万6000人分、第四銀行(同・新潟市)が約1万3000人分、八十二銀行(同・長野市)が約1万人分の顧客情報を紛失したと発表した。


実に惨憺たる結果で、「金融庁は今年4月の個人情報保護法の全面施行を受けて、金融機関に一斉点検と6月末までの報告を要請しており、同長官は、同日までに87金融機関が情報紛失を公表したことも明らかにした。」(前掲記事

 さらに流出は続く。

みずほ信託銀行、1万4000人分の顧客情報紛失 (2005年7月5日14時16分 読売新聞)
みずほ信託銀行は5日、計37の本支店で保管していた1万4104人分の顧客情報を紛失したと発表した。

まだまだ増えそうないきおいだな、こりゃ。みちのく銀行なんか「再犯」だし。

新入生らの個人情報入りCD―ROM紛失…大東文化大 (2005年7月5日22時43分 読売新聞)
 大東文化大学(東京都板橋区、和田守学長)の新入生や卒業生計約6200人分の個人情報が入ったCD―ROMがなくなっていたことが5日、分かった。

 同窓会が4月、同大からCD―ROMの提供を受け、名簿作成などのためにデータ処理業者に郵送したところ、届かなかった。同窓会は日本郵政公社に調査を依頼したが、公社は「不着の原因は不明」としており、CD―ROMも見つかっていないという。


郵便で個人データ送るつーセンスはどうかと思うが。賭けてもいいが暗号化なんかやってないのではないか?

もはや「行政措置を検討する」なんて悠長なこと言ってる段階じゃないんじゃない?
[PR]
by SIGNAL-9 | 2005-07-06 14:58 | 情報保護・セキュリティ | Comments(0)