<   2005年 08月 ( 11 )   > この月の画像一覧

みずほ銀行、顧客情報47,301人分を紛失。三菱重工下請けから発電所の検査情報流出。

みずほ銀行、顧客情報47,301人分を紛失~内部で誤って廃棄の可能性 Internet Watch 三柳英樹 2005/08/30 19:38
みずほ銀行は30日、口座番号や取引金額などの顧客情報が記載された内部管理資料の保管状況について調査を実施したところ、資料の一部を紛失していることが判明したことを公表した。

 紛失した資料の概要は、該当支店数450店、顧客数47,301人で、顧客の氏名、住所、電話番号、生年月日、口座番号、取引金額などが記載されている。内訳は、預金元票などのCOM(専用機を用いて閲覧する小さなフィルムネガのような内部資料)が35,557人分、カードローン関係申込書類が9,647人分、還元計表が890人分、口座振替依頼書が881人分、非課税貯蓄申告書(銀行控)が326人分。

 みずほ銀行では、現時点で紛失物は発見されていないが、内部調査で不正持ち出しの形跡が認められないことから、行内で誤って破棄した可能性が高く、外部への情報漏洩は極めて低いと考えているとしている。また、この件について、顧客からの照会やみずほ銀行に対する不正要求などの問題となる事象は生じていないという。
 もはやこうなると、「ちゃんと発表できるだけ、もしかしたら みずほ は立派なんではないか」と脳内アクロバットな結論に達してしまいそうな気すらするが(笑)

 調べてみたらわかりました、というのではこれも。

発電所の検査情報、三菱重工下請けからネット流出 2005年8月30日21時1分 読売新聞
三菱重工業(本社・東京都港区)は30日、全国の発電所など46か所の検査関連情報が、下請け企業社員の私物パソコンからインターネット上に流出したと発表した。

 火力発電所の情報が多かったが、北海道電力・泊、関西電力・大飯、九州電力・玄海の3原発の情報も含まれていた。

 情報流出が起きたのは、三菱重工から発電タービンなどの検査を下請けしていた「非破壊検査」(本社・大阪市)。男性社員が出張時などに使用していた私物パソコンがコンピューターウイルスに感染し、今年4月から5月にかけて、CD約1枚分のデータが漏えいした。この私物パソコンには、ファイル交換ソフト「Winny(ウィニー)」が入っていた。

 データの大半は、実際の検査結果が書き込まれていない書式のファイルで、テロ対策上、取り扱いに細心の注意が必要な核物質防護情報は、含まれていなかった。三菱重工は今月20日、外部から流出の指摘を受け、調査を進めていた。

 今年6月以降、経済産業省原子力安全・保安院と三菱電機の子会社でも、Winnyを入れた私物パソコンから原発関連の情報がネット上に流出した事例が見つかり、三菱重工も情報管理の強化に取り組んでいたが、今回の事例は把握できていなかった。
 はい、これもまたまたWinnyですね。もはやパターンとなってきた感があるが、本当の恐ろしいのはこのパターンに慣れっこになっちゃうことかもな。
[PR]
by SIGNAL-9 | 2005-08-31 16:26 | 情報保護・セキュリティ

ジャスダック、システム障害で午前の取引停止

TBSニュース
新興企業向け株式市場のジャスダック証券取引所で取引システムの障害が発生し、朝から4時間近く、全ての銘柄の取引ができなくなりました。

 ジャスダック市場では午前8時20分から始まる立ち会い外取引から全ての株の売買ができなくなりました。コンピューターの障害とみられますが、正確な原因はわかっていません。

 取引システムは午後の立会い取引の注文受付が始まる午後0時05分に復旧し、午後の取引はいつも通りに始まりました。

 ジャスダックでは「ご迷惑をおかけして、誠に申し訳ない」と話しており、現在、原因の調査を続けています。

 ジャスダックは新興企業中心に1000社近い企業が上場、先週26日には一日で1億5000万株あまり、約670億円相当が取引されています。(29日14:33)
 今年に入って3回目である。

「ジャスダックシステム 処理能力大幅増強へ 2005年7月26日 読売新聞」、といってたわけだが、結局大コケしてしまったわけだ。

【速報】ジャスダックの売買が停止中,新システムの投入初日 日経コミュニケーションによると、
 現在,利用できなくなっているのは証券会社にジャスダックの端末を置いて発注作業を行う「直結接続」である。証券会社側のアプリケーションからジャスダックのシステムに問い合わせて発注作業を行う「API接続」は利用可能。しかし「接続の方式だけで取り引きに差がでるのは問題」(同)との判断から,両システムとも停止する措置を採った。

 ジャスダックは8月29日から,時間外の「立会い外取引」の受発注を行う新システムを導入したばかり。従来のファクシミリでのやり取りから,コンピュータ・システムに置き換えた。このシステムが初日である29日朝から稼働せず,本システムにも影響が出てしまった。「原因が分かり次第,記者会見を開いて説明をする」(同)という。
 これから情報は出てくるだろうが、原因の如何によらず、またしても「停まってはいけないのに停まってしまった」のは事実である。

  山田正紀が昭和57年に書いた「虚栄の都市」という小説で、東京を襲う都市ゲリラの標的にひとつが東京証券取引所だった。実時間との競争である証券業というのは本質的に「停まることができない」システムである。

 9.11テロの時にもバックアップサイトを持っていなかった金融機関は、大変な損失をあげた。@ITの 吉田育代氏の記事(2002/3/12)によれば;
こうして準備万端だった企業があった一方で、バックアップサイトを持たないまま、サイトをダウンさせてしまった金融機関も存在した。事件が朝一番であったために当日の証券売買取引はなかったものの、その日に決済が予定されていた取引データがすべて失われてしまった。この金融機関は1週間後にようやく一部の業務を再開したが、ほぼ6カ月経ったいまもなお完全復旧には至っていない。

 ニューヨーク市民は、こういう業務を中断させた企業に対してどういう感情を抱いているのだろう。テロという青天の霹靂(へきれき)の災害に遭ってしまったことに同情的なのだろうか。その答えをバーリー氏は一言で説明した。

 「非常に怒っている。」

 売買取引の記録自体はDTCに残っている。しかし、照合が必要なために、この企業と取引をした相手の企業に多大な負担がかかっているのだそうだ。また、業界の中には前述のようにほぼダウンタイムなく業務を続行したところも企業もあるわけだから、その失態ぶりがよりくっきりと浮かび上がってしまうのだ。
 ジャスダックのように何回も何回も繰り返されれば、堪忍袋の鼻緒がブッツリという人も多かろう。

ロイターの[兜町ウォッチャー]ジャスダック今年3度目のシステム障害、小型株投信解約などのリスクも(2005年 08月 29日 月曜日 12:06 JST )によれば
市場関係者の間では、「2月、8月決算の銘柄については、先週25日が権利付き最終売買日だったが、仮にその日にシステム障害が起きていたら大変なことになっていた。取引所のシステムトラブルは言語道断だ」(準大手証券ストラテジスト)、「不透明感に伴い、ジャスダック銘柄を含む小型株投信の解約が出れば、他の銘柄を現金化する必要も出てくる」(大手証券エクイティ部)──などの声が出ている。
 まあ、当然だよな。仏の顔も三度笠というし。

 お客が「当然やるべき」と思っていることを「やっていない」という姿は、楽天事件などでもさんざん見てきたことだが、「安全な運用」はもっとも重要かつ基本的な顧客サービスであるという観点は、システムを設計したり運用したりする人間も忘れてはいけないことだろう。

 コトが起きないと目立たないからおカネの必要性が理解されない場合も多いんだけどね(苦笑)

その後…
[PR]
by SIGNAL-9 | 2005-08-29 15:41 | 電算機関係の話題

みずほ信託でまたまた流出事件

平成17 年8 月25 日

各位
みずほ信託銀行株式会社
お客さま情報の流出について

このたび、当社大阪支店において、お客さま情報の記載されている内部資料の一部が流出していることが、当社あての投書により判明しました。このような事態を招きましたことは、誠に申し訳なく、深くお詫び申し上げます。
流出した内部資料の概要は以下の通りです。
1.流出物
「お客さまリスト」1 枚(個人のお客さま47 名様分)
なお、今回流出が判明しているリストは上記1 枚のみですが、それ以外に同様の「お客さまリスト」(個人のお客さま1,102 名様分)に関しても流出の可能性があり、社内調査を行うとともに、警察に被害届を提出しております。
2.記載されているお客さま情報
お名前、ご住所、電話番号、生年月日、預金種別ごとのお預かり残高、など現時点では、本件にかかるお客さま情報の不正利用等は報告されておりません。また、流出の可能性があるお客さまも含めまして、該当するお客さまには、お詫びならびに事実関係のご説明を申し上げております。
なお、本件に関するお客さま専用のお問い合わせ窓口は以下の通りです。

電話番号: 0120-065-930(フリーダイヤル)
受付時間: 8 月25 日(木)、26 日(金)は午前9 時から午後7時まで。
8 月27 日(土)、28 日(日)は午前9 時から午後5 時まで。
8 月29 日(月)以降の平日は午前9 時から午後5 時まで。

今回の事態を真摯に受け止め、原因究明のための社内調査を行うとともに、再発防止に向けて更なるお客さま情報の管理体制の強化・徹底に努めて参ります。
以上
 あらためて、この会社のニュースリリースを眺めてみると
2005/08/25 お客さま情報の流出について(PDF)
2005/07/05 お客さま情報の紛失について(PDF)
2005/05/26 お客さま情報の紛失について(PDF)
2005/03/30 お客さま情報の紛失について(PDF)
1ヶ月おきに謝ってる状態である。
 「お客さま情報(お客様情報) お詫び」などの単語でぐぐってみると、改めて事例の多さを認識させられるが、この手の問題が表面化するようになったことは個人情報保護法のひとつの良い面ではあったのかもしれない。

 表面化することと被害を少なくすることは別問題ではあるが(謝まりゃあ済むって問題ではないしね)、直接被害を受けていなくても、例えば投資などを考えるときにひとつの参考指標にはなりそうだ。その程度の管理能力もないような企業に金を任せられるか?というのは自問してみるべき問題であると思う。

何回「再発防止に向けて更なるお客さま情報の管理体制の強化・徹底に努め」りゃあ大丈夫になるのかねぇ?
[PR]
by SIGNAL-9 | 2005-08-29 10:18 | 情報保護・セキュリティ

韓国がGoogleに是正勧告??

グーグルの個人情報流出が深刻 朝鮮日報 2005/08/24 14:38
大手検索サイトのグーグル(www.google.co.kr)で、不特定多数の名前や住民登録番号、電話番号、住所が流出している。
ええ!? どーゆー意味?
基本情報だけにとどまらず、個人がコンドミニアムを予約したり、会費を払ったり、特定団体を支援するなどの各種情報がそのまま検索されることもある。
ちちちちょっと待ってよ。
23日、グーグルサイトでアン某さんを検索すると、「韓国自動車管理社協会」のサイト(www.ama.or.kr)につながり、会費納付状況をまとめたファイルからアンさんを含む3816人の実名と住民登録番号が出てきた。
 また、別のアン某さんを検索すると、視力回復キャンペーンの“サラリーマン・レーザー手術費用補助の申し込み“の明細から、アンさんの住民番号、電話番号が出てきた。一緒に申し込んだユン某さんの住民番号、Eメール、電話番号も検索結果に載っていた。

 キム某さんを検索すると、キムさんが2002年7月に“オンラインツアー”を通じて海雲台(ヘウンデ)グローリーコンドミニアム1泊2日を予約したという情報と共に、電話番号、携帯電話番号、Eメールアドレスが出てきた。

 チョ某さんを検索すると、チョさんがオンライン・ショッピングモールのイエストップで注文した韓国の昔話の注文明細と共に、電話番号、携帯電話番号、住所まで出てきた。

 このようにグーグルに個人情報の流出が集中する理由は、国内に事業本部がなく、米国本社で一括管理していることから、政府がグーグルに対する取り締まりができないからだ。

 ネイバーやダウムなどの国内検索業者は、自社のモニタリングシステムやプライバシー情報を遮断するフィルタリングシステムを構築して個人情報の流出を防いでおり、比較的被害件数が少ない。

 これらの業者が個人情報を流出させた場合、政府の是正勧告を受ける。

 韓国情報保護振興院のキム・ミンソプ課長は、「グーグルの場合、サーバーの中のワードやパワーポイントなどの文書内容まで検索できるなど検索力が優れているうえ、フィルタリングシステムが麻痺するため、このような現象が起こる」と話した。

 キム課長はしかし、「適切な制裁方法がない」とし、「関連個人情報を所有している国内のインターネットショッピングモールや旅行会社などに対し、情報保護を強化することを要請するとともに、これら業者が直接グーグル本社に関連リストの削除を要請することを勧告している」と話した。
 はあ? おもわず全文引用しちゃったよ。
このようにグーグルに個人情報の流出が集中する理由は、国内に事業本部がなく、米国本社で一括管理していることから、政府がグーグルに対する取り締まりができないからだ。
いくらなんでも、それは責任転嫁というものではないか。そもそも、そんなデータをロボットが引っ張れるような状態で公開サーバ上においてあるというのは正直信じられない。韓国はIT先進国を自認してきたはずだが…。
「関連個人情報を所有している国内のインターネットショッピングモールや旅行会社などに対し、情報保護を強化することを要請するとともに、これら業者が直接グーグル本社に関連リストの削除を要請することを勧告している」
 削除要請出してこい、と。まあそりゃそうだろう。だけど、
 情報通信部傘下の韓国情報保護振興院は、近日中にグーグルのプライバシー侵害事例を集め、是正を求める公文を米国のグーグル本社に送る方向で協議している。
「グーグルのプライバシー侵害事例」??? これがGoogle側の問題だと? てゆーか、何を是正しろっていうの? 見られて困るデータならインターネットになんか置かなきゃいいだけだろうが。公開された場所に名簿置いておいて、ひろった人を責めるというのは論理としておかしくないか? 
 そもそも、Googleが拾わなくてもGoogleが拾えるようなものなら他の手段でも拾えるわけで、Google一社に是正を求めても何の解決にもならないと思うんだが。

 だめだ、どう考えてもこの「論理」、理解できない。
[PR]
by SIGNAL-9 | 2005-08-25 13:05 | 奇妙な論理

「個人情報保護―私が体験した過剰反応」

メール誤送信で152名の個人情報を流出 - リスクコンサルティング会社  IT保険ドットコム ニュース編集部 2005/08/18更新
東京海上日動リスクコンサルティングは、企業向けのメール情報発信サービスにおいて、顧客企業担当者の個人情報を含むファイルを誤って添付して送信したと発表した。
同社によれば、7月26日に顧客企業へメール配信を行う際、誤って個人情報を含んだファイルを添付し、送付してしまったという。誤って添付したファイルには、顧客である企業や団体43社103名と、同社および同社グループ内企業など49名、計152名の氏名や役職、メールアドレスなどが含まれていた。誤送信先は39社91アドレスだという。
ピーシーエー生命、115件の個人情報を含む申込書を紛失 IT保険ドットコム ニュース編集部 2005/08/19更新
ピーシーエー生命は、契約者から受領した申込書の一部を紛失したと発表した。
紛失した申込書は60件で115件の個人情報が含まれていた。契約者や被保険者の氏名、住所、生年月日、加入している保険の内容など。個人情報保護法に伴い、全社一斉点検を実施した結果、判明したという。紛失の理由について誤破棄した可能性が高いとしている。
 まあ、あいかわらず続く個人情報漏洩であるが、読売新聞の「土曜茶論」というコラム(2005年8月20日付け)で、個人情報保護 過剰反応!?相次ぐと題する特集記事が掲載されている。
 個々人の顔が見えない「匿名社会」が広がりを見せ始めている。個人情報の保護をめぐり、行き過ぎとも言える事例が相次いでいるのだ。今回のテーマは「個人情報保護―私が体験した過剰反応」。


 ど~も、説得力のない記事である

 「過剰反応」として、当該コラムが取り上げている事例を要約すると;
  1. 知人が都心の有名ホテルで結婚式を挙げることになり、旅先から祝電を打とうとした。ところが、下の名前を度忘れして、どうしても思い出せない。本人に聞くわけにもいかず、ホテルに電話で問い合わせたところ、担当者は「個人情報保護法があるので教えられない」と繰り返すばかり……。
  2. バスツアーで配られていた名札と参加者の名簿が配られていたのに、それがなくなった。
  3. 表札を掲げない家が、1年ほど前から急激に目立つようになりました
  4. 息子のクラスの連絡簿には、担任の先生の住所が書かれていない
  5. 独居老人に関する情報を自治体が民生委員に提供しない
  6. 地域の緊急連絡網作りに住民が協力しようとしない
  7. 叔母が入院している病院の受付で、見舞いを拒まれた。親族であることを伝えたが、職員は「個人情報保護法がありますから」の一点張りだった
  8. JR福知山線の脱線事故でも、身内の安否を気遣う家族らに対し、病院側が患者に関する情報提供を拒む例が発生当初にみられた。


 どれもこれも一律に非難できるようなことではない。

  1. んじゃあ、身元の確認もできない電話で聞かれるままに個人の情報をダダもらしにするホテルっていいと思うの?
  2. 同じツアーの参加者なんだから、個人的に話して聞けばいいじゃん。
  3. 個人の自由じゃねぇか。それとも何か、表札は必ず出せって法律があった方がいいってのか?
  4. 親が学校に問い合わせるなりなんなりすりゃいい。
  5. 上に同じ。ちゃんと理由があるのならちゃんと調べりゃよかろうが。てゆーか、民生委員だったら独居老人の情報入手し放題って方が怖いと思うんだが。殺人事件もあったし。
  6. 主語が不明。誰がその名簿を作ろうとしてるの?集められた個人情報が悪用されないと保障してくれる主体は何?
  7. 適切な身分証明とかしたのかね? 『俺は親族だが』なんて口頭でいっただけじゃねぇの?
  8. 混乱した状況だったらなんでもかんでもダダモレに漏らす方が適切だとでもいいたいのだろうか? そういう状況をさんざ悪用してきたマスコミもあったのでは?


 このコラムを書いた記者に問いたいのは、要するに、ここに挙げられている程度の話から「個人情報保護法のせいで『匿名社会』が広がっている」なんて大仰な結論が導き出せるのか?つーことである。
この現実に、ジャーナリストの櫻井よしこさん(59)は「地域住民の情報を住民同士で共有できていない社会が、いざという時にどうやって助け合うのですか」と疑問を投げかける。「私たちが知らなくても、政府や自治体は個人情報をすべて握っています。匿名社会が怖いのは、行政当局に情報をコントロールされてしまうこと、無責任な体質がはびこること、ひいては私たちの問題解決能力まで失われることです。匿名社会が広がって喜ぶのは、独裁者や悪人だけですよ」
 個人的には櫻井よしこ氏は男前でカッコいいと思うのだが、この記事の発言に関する限り、針小棒大というか、全然レベルの違う話をしている。適切なたとえではないかも知れんが、何でもかんでも「軍靴の音が聞こえる」みたいな拡大解釈する-恐らく櫻井氏が嫌うであろう-頭の悪い論理と似ている。
防災・危機管理ジャーナリストで「まちづくり計画研究所」所長の渡辺実さん(54)は「家族や知人の安否確認に走り回る人々を情報から遠ざければ、パニックが膨らむ。災害や大規模な事故の際には、患者情報の積極的な公開こそが公益にかなう」と指摘し、こう警告する。 「個人情報を十把一からげにして、表に出さないことをよしとする発想からは、誰のため、何のための保護かという視点が、完全に抜け落ちている」
お説ごもっともだが、「災害や大規模な事故の際」と「日常の生活」を一律に論じられても困る。
というか、前の櫻井氏の発言と同じことなのだが、氏のいいたいことを「「個人情報保護―私が体験した過剰反応」の結論に持ってこられても、全然レベルの違う話なのではないか。

 俺も「過剰反応」的な部分はあるだろうなとは思う。だが、この記事に挙げられている「程度」のリスクであるのなら、個人情報ダダ漏らし状態よりははるかにマシであるとも思う。そもそも、「これは過剰反応である」というのならば、「適切な反応」というものはどういうものか提示する必要があると思うのだが。

例えば読売新聞は、「俺は今日の三面記事に出ている○×の親族のものだが、本人に祝電を打ちたいので住所を教えろ」と電話したら、どう反応するというのだろうか?
[PR]
by SIGNAL-9 | 2005-08-22 15:40 | 奇妙な論理

民主党大阪府連の公式サイトがアダルトサイトにリンク

民主党大阪府連の公式サイトがアダルトサイトにリンク
1 :依頼354@ぴろりψ ★ :2005/08/10(水) 23:57:27 ID:???0 ?###
http://www.minsyu.jp/link/link_syugiin.html
↑このページの「水島 広子」のリンクが
http://www.mizu.nu/
のアダルトサイトへのリンクになっている。

正しくは↓
http://www.mizu.cx/

6 :番組の途中ですが名無しです :2005/08/10(水) 23:59:36 ID:uEwJPprC0
リンク先に飛んだら、無修正の外人のまんまんやちんちんが
たくさん出てきました。

19 :番組の途中ですが名無しです :2005/08/11(木) 00:01:52 ID:1tW2n7Sg0
これ、マジスwwwwwwwwwwwwww

それも、エグイwwwwwwwwwwww

20 :番組の途中ですが名無しです :2005/08/11(木) 00:01:53 ID:QBB09FyN0
おお、マジだwwwしかもどぎついモロ動画www

21 :番組の途中ですが名無しです :2005/08/11(木) 00:01:56 ID:2Ou4vNA70 ?###
糞ワロスwwwwwwwwwwwwwwww

22 :番組の途中ですが名無しです :2005/08/11(木) 00:02:01 ID:+3hMpOCm0
出演してるんじゃね~のwww

23 :番組の途中ですが名無しです :2005/08/11(木) 00:02:09 ID:1CGBDqqv0
一番下ウホッ

24 :番組の途中ですが名無しです :2005/08/11(木) 00:02:12 ID:c3ejgOoU0 ?##
ゲイの無修正まであるwww

25 :番組の途中ですが名無しです :2005/08/11(木) 00:02:18 ID:XdcC7/fm0
逮捕白や!!!!!!!!!!!!!!!

26 :番組の途中ですが名無しです :2005/08/11(木) 00:02:33 ID:7JC++2TO0
一番下のはヤバイだろ!


 俺が確認した限りでは11日午前10時頃まではそのままだったようだ。
 他にもリンクがおかしいところが数箇所あり、けっきょく一旦民主党大阪府連のホームページのサイトごと止めて修正したみたいだ(14時現在、サイトには繋がるが問題のページは404になる)。

 いやぁ、笑っちゃ悪いが(爆笑)

 たぶん、サボってたんでドメイン名取られちゃったとか、そーゆークダらない理由なのであろうが、管理能力つー点から見ると、あまりみっともいいことではないなぁ。すでにいろんなところでキャプられてたりアーカイブされてるので、無かったにはできまい。
 悪いことにどーみても公序良俗に合致するとは思えない無修正のアダルトサイトである。まあ、何らかの謝罪なり説明なりは必要だろう。

 政治がらみのWebページ、特に最近では政治家のBlogが、日照りの枯れ山なみに炎上しやすいのは言うまでもない。

 郵政民営化参院採決で棄権した大仁田議員のBlogゲーム規制という虎の尾を思いっきり踏んづけた松沢神奈川県知事のBlogは大炎上中であるし、、拉致問題や反日問題真っ只中のこの時期に、外国人学校への補助を訴えた中野区議の奥田議員のBlogはほとんど半壊状態である。
 まあ、それでも教科書採択に関する運動をBlogで呼びかけた挙句、抗議に耐え切れず逃げてしまった、くまがい桂子ゆうばり市議に比べれば、逃げないだけ対応はマシかもしれないが。

 俺は、Blogのコメント欄で口汚く罵ったりすることは肯定しないが、そうされた時に、その政治家がどういう対応をとるのか?という点は興味深く見させてもらっている。便所の落書き程度を捌けないで、マツリゴトなんか捌けるわけがないからねぇ(笑)
[PR]
by SIGNAL-9 | 2005-08-11 15:10 | 一般の話題

修学社事件 2億5500万円の不正振り込みはネットバンクではなく専用端末によるものと判明

【続報】2億5500万円の不正振り込みは専用端末によるものと判明 福田 崇男=日経コンピュータ 2005/08/08
学習塾「シドウ会」を経営する修学社が、8月1日に2億5500万円の不正振り込み被害にあった事件で、利用していたのは同社発表にあったネット・バンキングではなく、ホストと電話回線でつながった専用端末であることが分かった。これにより、ネット経由での不正アクセスの可能性は低くなった。

 同社が利用していたサービスでは、特定のパソコンを使った上でID/パスワードによる認証に成功しなければ、振り込み操作はできない。犯人は8月1日の22時30分に、同社が持つみずほ銀行の口座から、翌日に2億5500万円をほかの口座に振り込むよう予約手続きをしていたことが分かっている。

 しかも修学社によると、すでに犯人一味の面相は特定できているという。振り込み当日の8月2日に、振り込み先国内銀行の窓口に犯人が現れ、本人確認手続きの上、2億5500万円を引き出した、とのこと。その様子を、銀行の監視カメラが撮影していた。修学社は8月4日に通帳に記帳した際、不正振り込みに気付いた。

 ネット経由での不正アクセスによるものでないとすると、内部犯行や、同社内に侵入して直接端末を操作した可能性などが考えられる。しかし同社は、「振り込み操作をするためのID/パスワードを知っている二人の経理担当者は、不正振り込みが行われた1日の22時30分にはすでに会社にいなかった。誰かが不正に端末を操作したら、その時に残っていた担当者が気付いたはず」とコメントしている。


 ふ~む。話がよくわからんなぁ。

 「同社が利用していたサービスでは、特定のパソコンを使った上でID/パスワードによる認証に成功しなければ、振り込み操作はできない」
 「ネット経由での不正アクセスによるものでないとすると、内部犯行や、同社内に侵入して直接端末を操作した可能性などが考えられる」

 「特定のパソコンで」ってのはどういう意味なのだろう。GUIDとかMACみたいなものだと偽装できるし、証明書の類だってソフト的なものなら盗まれないことはなかろうし。「汎用の」パソコン使ってる限りは「特定」個体限定というのはかなり困難な気がするのだが。ドングルみたいな認証用のハードでも使うものなのかしら。

 仮に電話番号などでも認証してるとしても、公衆とかISDN回線でおまけに自社ビルでないとすりゃあ、アクセスしやすいMDFかIDFでもあれば、回線盗聴とか横取りするとかはありうるんじゃないかなぁ。ちゃんと暗号化とかやってるのだろうか。

 IDとパスワードはこの際あまり意味はないような気もするなぁ。もしも、この「専用端末」とやらがフツーのオフィスフロアにおいてあったとすりゃあ、ショルダーサーフィンでIDとパスワード盗み見られたとか、そういう可能性はあるかと思うし。

 監視カメラに写ってるということは、犯人が捕まるのは意外に早いかもしれない。
 システムに不備があるとすれば大きな問題だろうから、是非とも情報公開をしてほしいものだ。

 まあ、上の話を単純に邪推すると、「IDとパスワードを盗み見た内部犯行」つーセンが濃厚のように思えるが…
[PR]
by SIGNAL-9 | 2005-08-09 15:48 | 情報保護・セキュリティ

学習塾経営の修学社、ネットバンキングで2億円パクられる?

修学社:2億円、無関係口座へ振込み ネットバンキングで 毎日新聞 2005年8月8日 15時36分
学習塾経営の修学社は8日、何者かがネットバンキングを利用して同社の口座から同社が全く関知しない口座に2億5500万円を振り込んでいたと発表した。全額が現金で引き出されていたという。同社は、ネットバンキングに使用するパソコンを操作できる社員を2人だけに限定しており、「社員の関与は考えられない」と話している。暗証番号などを盗むスパイウエアがパソコンに侵入した可能性については「分からない」としている。

同社によると、8月1日午後10時半に振り込み予約の手続きが行われており、2日に振り込みが行われ、同日午前中に全額が引き出されていた。同社は4日夕の口座残高確認の時点に気づき、警察に被害届を提出した。

 同社は、みずほ銀行の口座でネットバンキングの取引を行っているが、取引額が大きいことから、ネット取引に利用するパソコンを東京都渋谷区にある本社内の1台に限定し、暗証番号を知っていて操作できる社員も2人だけだった。振り込み操作が行われた当時は、この2人の社員は会社内にいなかったという。


 まだ速報レベルで詳細がわからないが、これもまた香ばしい事件になりそうな予感。

(株)修学社の会社案内
[PR]
by SIGNAL-9 | 2005-08-08 16:36 | 情報保護・セキュリティ

楽天事件4 楽天市場の個人情報流出、カード情報10,026件を含む36,239件に拡大

楽天市場の個人情報流出、カード情報10,026件を含む36,239件に拡大 Internet Watch 永沢 茂 2005/08/08 12:53
楽天は6日、楽天市場に出店していた店舗「AMC」の顧客情報が流出した事件について続報を発表した。同店舗でこれまでに受注した約94,000件のうち36,239件の流出が確認された。このうち10,026件にはクレジットカード情報が含まれているという。
 順調に増えているな(爆)

 こりゃあ、毎日新聞主張の流出10万件超?というのもまんざらガセでもなさそうな雰囲気ではある。
 が、まだ、「AMC以外のデータも楽天から流出している?」という方は確認されていないようであるし、当のACMは
社内調査の結果、同社から人為的要因で漏洩したとは思えないとの認識を示しているほか、スパイウェアの形跡もなかったことを明らかにしている。
「ウチじゃねぇよ」と言い張っているようである。
 被害自体の全容が明らかになるのも、もう少し時間がかかりそうだ。

 もっとも、前回のエントリでも触れたが、そもそも誰でも読める形のCSVでデータを配るようなシステムだったわけだ。流出経路の特定というのは悲観的な見通しにならざるを得ないのではないか。
[PR]
by SIGNAL-9 | 2005-08-08 16:27 | 情報保護・セキュリティ

楽天事件3 再発防止策だそうだ。

楽天という「システム」で、個人情報がどのように扱われていたのか、実際の商店主の証言が記事になっている。
楽天の情報流出事件、「誰の責任なのかはっきりして」--出店者の苦悩と不安 CNET 別井貴志(編集部)2005/07/26 18:51
楽天に出店している店舗に注文があると、出店者は注文してきた顧客の情報を楽天の店舗管理システムを通じて閲覧する。そして、このデータを印刷することもダウンロードすることも可能だ。銀行口座名やクレジットカード番号などの決済情報は、注文があってから2週間でこのシステムからは閲覧できなくなるが、氏名や住所などの基本情報はそのまま継続して閲覧できる。また、この2週間以内に印刷やダウンロードしておけば、決済情報までを店舗側で残しておける。

 話を聞いたオーナーは、こうした顧客情報を別途開発した受注ソフトウェアを使って管理し、基本情報に基づいて商品の配送などを手配している。クレジットカード決済の場合の与信確認については、「うちもそうだが、多くの店舗は自分で用意した与信確認システムなどを通じて顧客の与信を確認している。楽天のシステムを使って与信結果だけを得ることもできるようだが、その都度手数料、つまりコストがかかるので利用しようとは思わない」と語る。
 ようするに楽天というのは生の個人情報を「配布」するというシステムだったわけだ。

 これではイカンと(当たり前だ)、再発防止策が打ち出された。
楽天、個人情報流出対策を発表…カード番号は一括管理 2005年8月2日0時29分 読売新聞
現在は、クレジットカードの決済を加盟店舗とカード会社間で行うため、利用者のカード番号などを加盟店舗も閲覧することが可能だが、新システムでは楽天がカード認証を代行し、カード情報は店舗側に伝わらないとしている。今月11日から実施する。
 ツッコむ気力すら失せるが、「じゃあ、今まで配っちゃったデータはどうするの? 楽天で責任持って回収できるの?」とだけ言っておくか。

 eコマースだのスケコマースだの、横文字並べてカッコつけたつもりでも、実態はこんなものである。
 カカクコムや楽天といったビックネームでさえこの程度の管理レベルだ。まあ、根本的にはクレジットカードというシステム自体の問題であるが。

 楽天事件からみの2ちゃんねるのスレッドを覗いていたら、「だってSSLで暗号化してるんだろ?なんで漏れるのよ??おしえてエロい人!」とか書いてる奴がいて、ワロう前に暗澹たる気持ちになった。
 「こういうバカは被害を受けてもしかたない」的な突き放した見方になってしまいそうになる。

 もちろん、流出された業者が100%悪いに決まっているのだが、自己防衛意識が全然ないのも、なんだかなぁ。
[PR]
by SIGNAL-9 | 2005-08-02 14:25 | 情報保護・セキュリティ