<   2005年 10月 ( 4 )   > この月の画像一覧

「楽天市場」個人情報流出、店舗の元社員を逮捕

「楽天市場」個人情報流出、店舗の元社員を逮捕 IT Media News 2005/10/27 13:50
「楽天市場」の店舗から利用者の個人情報が流出した問題で、警視庁は10月27日、情報が流出した店舗を運営する輸入雑貨販売会社・センターロードの元社員の男(33)を不正アクセス禁止法違反の疑いで逮捕した。

 調べでは、元社員は5月中旬、楽天がセンターロードに割り当てたIDとパスワードを使い、楽天のサーバに不正にアクセスした疑い。報道によると元社員は大筋で容疑を認めており、数万件の顧客情報を入手し、名簿業者に転売したと供述しているという。

 IDとパスワードはセンターロードの役員数人が管理していたが、システム障害の普及作業時に元社員のPCを使ったため、元社員がIDとパスワードを入手したという。

 同問題で流出した個人情報は、楽天市場分が約3万6239件、ディー・エヌ・エーの「ビッダーズ」分が8456件。
 雇用がこれだけ流動化してる現代だ、さもありなんという気がするが。
個人的に総括してみると、この件から教訓を引き出すとすれば
  • そもそも顧客データをプレーンなCSVファイルで配るという、楽天のシステムの根本的な問題
  • アカウント情報を社員が辞めた後も変更せず使い続けていたこと
  • 社員のパソコンで会社のシステムを弄っていたこと
などが挙げられるだろう。
 いずれも、コンピュータセキュリティの教科書の「べからず集」に載っていそうな内容だが、意外と基本的なことも守れないものなのだよな。

 結局自己防衛しかないという事実の再確認ではある。

-付言-
 どうしても触れておかなければならないのは、楽天の元社員が10万人分うっぱらった疑いがあるという毎日新聞の7月28日付の記事である。
毎日新聞は少なくとも約1000件は流出していることを取材で確認したが、この1000件はいずれも、123件と同じ業者と取引した顧客の情報だった。このため、9万4000件すべてが流出した可能性がある。 流出した個人情報を所持していた男性は「楽天関連会社の元社員から購入を持ちかけられ、1件3000円で購入した。流出したのは足立区の業者のだけではないはずで、10万件では済まないと思う」などと証言している。
結局、今回の警察発表からはかなりかけ離れた記事だったように思うのだが、毎日新聞さん、ど~よ?

------------------- 11月14日追記

2005年11月14日14時32分 読売新聞「ネット商店“身内”不正アクセス、個人情報盗む
楽天市場の個人情報流出事件で逮捕されたのは、楽天市場に出店していた輸入雑貨販売会社「センターロード」(東京都足立区)の元社員橋本安弘容疑者(33)(葛飾区)。橋本容疑者は5月、楽天側からセ社に割り当てられていたIDとパスワードを悪用し、楽天市場のサーバーに不正にアクセスした疑いで、10月24日に逮捕されていた。アクセス後、「店舗」で買い物をした顧客の氏名や住所など計約3万6000件の個人情報を盗み出していた。

 橋本容疑者は調べに対し、セ社が同様に出店していたビッダーズのサーバーにも不正にアクセスし、「今年1~2月ごろ、約8500件の個人情報を勝手に引き出した」と認めたという。サーバーから盗み出した情報は、顧客の氏名、住所、電話番号、メールアドレスなどだった。

 橋本容疑者は当初、楽天市場のサーバーにアクセスできるIDなどの入手方法について、「会社のパソコンに不具合が起こり、(IDなどを知っている役員らが)代わりに自分のパソコンを使った際、入力されたIDなどが残っていた」と説明したが、その後の調べでウソと判明した。

 実際はセ社社員当時、両サイトのサーバーにアクセスできるIDやパスワードのセキュリティー(安全性)対策を徹底するため、「パスワード管理ソフト」を導入するよう進言。このソフトの悪用を思いつき、管理ソフトを丸ごと自分のパソコンにコピーし、IDやパスワードを盗み出していたという。橋本容疑者は、2月に同社を退職していた。

 両サイトから不正に得た計約4万5000件の個人情報について、橋本容疑者は「知人の『新宿の名簿屋』と、闇サイトを通じて知り合った別の男に、それぞれ10万円で売却した」と供述している。
 多少事実関係は違っていたようだが、結論的には変わらない。もはや「性善説」というのはズボラのいいわけに過ぎないということだ。
[PR]
by SIGNAL-9 | 2005-10-28 13:15 | 情報保護・セキュリティ

読売「異議あり匿名社会」キャンペーンに思う

 過去二度ばかり言及したが、読売新聞が「異議あり匿名社会」というキャンペーンを展開中だ。不定期掲載ではあるが、10/16付けの紙面などでは、一面トップ記事扱いであった。力を入れているのであろう。

 このキャンペーン記事に対する現時点での俺の評価、「エピソードを書き連ねても説得力がない」ということは以前にも書いたので、ここでは再度取り上げない。

 読売のキャンペーンのスタンスは、10月15日付けの社説から読み取れる;
 個人情報保護法の完全施行に伴い、行政、医療、教育などの現場では、過剰反応とも言える情報の“出し渋り”が始まっている。

 懸念されるのは、公的機関が公共性の高い、社会で共有すべき情報まで公表を控えるようになったことだ。記者は真実に近づくために、これまでの何倍もの努力を強いられている。
 ここでは官公庁や病院などの公的・準公的機関の出し渋りの問題点に注力しているように書いてあるが、「異議あり匿名社会」キャンペーンでは、「個人」の出し渋りの問題も取り上げられており、それらを纏めて「匿名社会」と呼称している様である。

 俺がこのキャンペーンに決定的に欠落していると感じるのは、キャンペーンを展開している報道機関自らを省みる視点である。
記者は真実に近づくために、これまでの何倍もの努力を強いられている。
 この文言にあえて難癖をつけるが、努力が強いられているのなら努力すればいいじゃん?

 それとも何ですか、マスコミだけは特権階級だから別扱いしろとでも?
 そもそもある情報が「公共性の高い、社会で共有すべき情報」である、というのは誰が決めるのか?
 「俺たちマスコミ」が基準なのか?
 その「共有すべき情報」の定義-社会的合意-が困難だから、予防措置的に多少「過剰な」反応があるのではないか、といった視点は必要ないのだろうか。

 マスコミのこういう物言いには「俺たちは正しいんだから」的驕慢さを感じてしまうのである。
 そもそも個人情報の保護がこれだけ重要視されるようになった一因には、無意味な個人情報報道による報道被害もあったとは思わないのだろうか?

 この種の驕慢さは、毎日新聞の2005年10月23日付社説「犯罪被害者 匿名は不正も痛みも隠し込む」ではより顕著である。
 考えてみてほしい。被害者名が判明しないと、メディアは被害の事実について確認する手立てを失う。現在は担当記者が警察発表をもとに裏付けのため、被害者本人や周辺から取材、検証し、確認が得られてから報道している。仮名、匿名による警察発表が許されれば、極論すれば、警察の情報が虚偽や架空であってもメディア側は鵜呑(うの)みにするか、報道を断念せざるを得なくなる。もちろん今の警察がメディアを意図的に誤誘導するとは思わない。だが、戦前の特高警察の歴史を思い起こすまでもなく、メディアによる監視や活動の公開が不十分になれば、警察という権力機関が暴走しないと言い切れるだろうか。

鵜呑みか断念か。無茶な二分法である。
ようするに毎日新聞社は単なる警察の広報組織だ、というわけか(笑)

 最近のマスコミをめぐる様々な問題を通してみると、「俺らで調べるのがメンドくさいから警察はちゃんと発表するように」、どう読んでも自らの仕事における怠慢を、他人のせいにしているようにしか見えないのである。

 隗より始めよ、という言葉がある。まずはマスコミが署名記事の充実や、犯罪報道での加害者隠し・身内かばいの報道姿勢の問題など、自らの前に山積する問題に手をつけるのが先なのではあるまいか。

 笑ってしまうのは、「匿名社会がダメだダメだ」といっている読売のキャンペーン記事自体が無署名記事だってことなんだが
[PR]
by SIGNAL-9 | 2005-10-24 18:23 | 奇妙な論理

「のまネコ」報道でちょっと思ったこと。

話題の「のまネコ」問題であるが、まだ進行中でもあるし、正直なところ

エイベックス、かっこ悪い(悪)

という感想以外特にない。

 もっとも、この件でちょっとおもしろいのは、ネット発ということで、問題の進捗がほぼオープンにトレースできることである。全国紙各紙が取り上げたのは9/30のエイベックスの(稚拙な)一方的撤退宣言が出てからだが、ネット越しに見るとはなしに見ていただけの俺みたいな半可通の人間から見ても、「おいおい、そりゃあちょっと『事実』と違うんじゃないの?」と思われるような報道がある。

 一例として読売新聞の2005年9月30日付(本紙では10月1日朝刊)の記事を見てみよう。
「のまネコ」商標登録出願取りやめ…「モナー」に酷似

 エイベックスは30日、同社が発売中の楽曲「恋のマイアヒ」の宣伝などに使われている猫のキャラクター「のまネコ」について、図形商標の登録出願中止を、著作権を持つ会社に申し入れたと発表した。

 「恋のマイアヒ」は、モルドバ共和国出身の3人組「O―ZONE」のヒット曲。歌詞が「飲ま飲まイェイ」など日本語に聞こえることから評判となり、収録アルバムは70万枚以上を売り上げ、「のまネコ」のグッズの販売も始めた。

 ところが、「のまネコ」がネット上の掲示板「2ちゃんねる」などで使われているキャラクター「モナー」に酷似しているとして、ネット利用者が反発。「モナーが自由に使えなくなる」と、抗議の動きが起こっていた。
 エイベックスでは、「両キャラクターは全く別物だと考えているが、今回の混乱を招いた以上、出願を取り下げて皆さんに安心して頂こうと決めた」としている。また、30日に同社社員への殺人予告が「2ちゃんねる」に掲載されたとして、警察に被害届を出すことも明らかにした。

(2005年9月30日22時46分 読売新聞)
非常に短い記事だが、この記事には非常に重要な要素が欠落しているそもそも「のまネコ」がモナーを「参考」にしたものであるというAVEX自身も認めている事実だ。

 AVEXがいうところの「インスパイ」という表現が、パクリと同義として揶揄的に扱われている状況から見て、「酷似しているとして、ネット利用者が反発」という要約の仕方ができるものだろうか? 「酷似もクソも、そもそもパクリじゃねぇか」というのが、むしろ事実に近い「反発」の内容ではないか。

 しかも、そもそもの「事件の発端」の要約の仕方も奇妙だ。読売の要約では
歌詞が「飲ま飲まイェイ」など日本語に聞こえることから評判となり、収録アルバムは70万枚以上を売り上げ
 AVEXの発表では、
私たちは、昨年10月に、「恋のマイアヒ」の楽曲を使ってアスキーアート文化の影響を受けた映像と共に音楽を楽しむ面白いフラッシュを見つけました。そのフラッシュは、使用許諾なく楽曲を使用していましたが、「これは非常に面白いので、是非皆さんにも楽しんでもらおう」と思い、作者の方に私たち用に改めてフラッシュを作ってもらい、もちろん作家の許諾を取った上で、CDの特典映像としました。それがマイアヒ・フラッシュの始まりだったことは皆様ご存知のとおりです。

しかし、その後CDの売れ行きが予想もしないぐらい伸びたことを背景に、
と、「のまネコ」FLASHの存在がCDのヒットに繋がったことを認めている。これを<歌詞が評判になったから大ヒット>と要約してしまうのはおかしくないか。だいたい「歌詞」が評判でなぜネコのキャラクターが問題になるのか、この記事から読み取れるだろうか。

 つまり、読売の記事は、問題のきっかけになったいわゆる「のまネコ」FLASHの存在を完全に欠落させて状況を要約しようとしているので、我々が見ている「事実」と微妙に食い違っているのである。

 この読売の乱暴な要約、なぜ「わた」氏のFLASHの存在に言及していないのか、その本意は俺にはわからない。そもそも調べないで書いているのか、なんらかの意図があって「のまネコ」の出自に言及したくないからなのか、「どーでもいい」と思っているからなのか。

 ただ、新聞紙上伝えられる内容と、ネット上で見受けられる内容が食い違っているというのは事実であり、マスコミ報道というのはいつもそういう目線でみていないといかんよなぁと思う今日この頃である。
[PR]
by SIGNAL-9 | 2005-10-01 11:55 | 奇妙な論理

警察庁、ドメイン名の期限切れトラブルに注意喚起

警察庁、ドメイン名の期限切れトラブルに注意喚起  INTERNET Watch 2005/09/30
警察庁は29日、ドメイン名の有効期限切れによるトラブルが発生しているとして、企業などに対して注意喚起を行なった。

 警察庁では、国内の企業の所有するドメイン名が有効期限切れで失効し、インターネット上で提供中のサービスに対するアクセスが長時間不可能となる事案が発生していると指摘。ドメイン名が失効した場合には、インターネット上でのサービス提供に支障が出るだけでなく、失効したドメイン名を第三者に取得されてしまうと、高額での買い取りを要求されたり、フィッシング詐欺目的のサイトに悪用される可能性があるとして、注意を呼びかけている。
警視庁の@ポリスより、該当の注意喚起ページはこちら
<ドメイン名の失効による影響>
  1. インターネットでのWeb、電子メール等のサービス提供に支障を来す
  2. 失効したドメイン名を取得した第三者から高額での買い取りを要求される
  3. 失効したドメイン名を取得した第三者が本来の所有者のWebサイトと酷似したWebサイトを作成し、閲覧者の個人情報やクレジットカード番号等を窃取される
  4. 同様の手段でWebサイトの閲覧者のコンピュータにウイルスやスパイウェアを感染させられる
  5. アダルトサイト等を作成されることで本来のドメイン名所有者の信用を失墜させられる
  6. 失効したドメイン名宛の電子メールをドメイン名を取得した第三者に受信される
  7. 失効したドメイン名を取得した第三者が他者に対して電子メールを送信した場合、受信者は本来の所有者からのものと勘違いする可能性がある
<ドメイン名の失効を防ぐための対策>
  1. 有効期限前に確実に更新手続きを行う
  2. 連絡先(住所、メールアドレス等)変更時にドメイン名登録機関へ速やかに届け出る
  3. 連絡先メールアドレスを個人宛ではなくグループ宛にする等、ドメイン名更新を知らせる電子メールを確実に受け取れるようにする
  4. 自組織が使用しているDNSサーバのドメイン名の有効期限切れに注意する(異なるドメイン名を使用している場合)
俺もこの間、JPドメイン名を廃止する必要があり、モロモロの手続きがメンドくさかったんで、ISPに丸投げしちまった(笑)のだが、JPRSからちゃんと「ISPから依頼があったんで消しちまうぜ。文句があるなら申し出るように」つー連絡が、電子メールではなく封書で来た。さすがにJP、しっかり管理されておるな、と思ったが、そのヘンのワケワカラナい(失礼)レジスト代行サービスだと、ここまで期待するのは無理かもしれない。
 この間の、民主党みたいな大恥をかく例もあるので、俺みたいなズボラな管理者は自戒する必要があると思うぞ(笑)。
[PR]
by SIGNAL-9 | 2005-10-01 10:47 | 情報保護・セキュリティ