「i モード EC サイト個人情報流出事件」ではなにがおきたのか?
1月7日夜に発生した「iモード EC サイト個人情報流出事件」(多数の iモード EC サイトで個人情報が閲覧可能な状態になってた事件)について、弊誌の記事のままだと知人に説明する際にわかりにくいというご意見をいただいた。
製品・サービス・業界動向
業界動向
多数の iモード EC 構築用CGI で個人情報が多数流出の危険(2002.1.7)
https://www.netsecurity.ne.jp/article/1/3688.html
弊誌は、どちらかというとある程度の知識を前提としたものなので、どうしても説明も省略しがちで、専門用語や略称も説明なしで使用している。
しかし、今回の事件では、さまざまな方にその危険性を伝える必要性があるというご意見に答えて、システム知識のない EC サイト運営者の方、経営者の方あるいは、一般利用者の方に理解しやすい形で、この事件を説明してみようと思う。
>> この事件ではなにがおきたのか?
ドコモ社の携帯電話の iモード には、さまざまなサイトを見ることができる。その中には、iモードでショッピングができる=いわゆる EC サイトもある。通信販売の iモード版である。
iモードのショッピングは、携帯電話で、商品情報を見ながら、その場でそのまま申し込みまで行うことができるという手軽さがあり、便利である。しかも、ほとんどのサイトは、24時間、365日、いつでも利用できる。
ショッピングの購買=申し込みにあたっては、自分の連絡先などの情報をサイトの上で入力する必要がある。
当然ながら、普通は、ここで入力した個人情報は厳重に管理され、決して外部にもれることはない。
だが、今回の事件では、もれてはいけないはずの個人情報が、誰でも見ることのできる状態になっていた。
しかも、ひとつやふたつのサイトではなく、多数のサイトで発生した。さまざまな iモード上の店で個人情報の流出がおきていたのである。
>> なにが、問題だったのか?あるいは、どんな問題がおきるのか?
問題は、サイトの構築を行った際に発生していた。サイトを構築する際に利用したプログラムの設定をただしく行わなかったのである。
また、このプログラムは、バージョンアップされて、新しいものがあるが、昔に構築したサイトでは、そのまま古いプログラムを使いつづけていた。
設定が正しく行われているか、新しいプログラムを使っていれば、個人情報は無事だったはずである。
また、付帯的な問題としては、これだけ多数のサイトで問題が発生していたにも関わらず注意喚起や報道がほとんど行わなかった。そのため、一般の iモード利用者は、この事件の存在を知らず、パソコンでインターネットを利用している一部の人々が掲示板などで情報交換を行って個人情報を盗み見していた。
おそらく、個人情報が流出したほとんどの人は、いまだに気づいていない。気が付くのは、覚えのないメール、DM、いたずら電話など具体的な被害がおきる時である。
>> 自分の情報が安全か、どうか確かめる方法は?
方法あるが、それを公開することができないのである。なぜなら、その方法は、そのまま第三者が流出している個人情報を盗み見る方法でもあるのだ。
可能な確認方法は、過去にショッピングをしたことのあるサイトに確認のメールを出してみることくらいである。
>> 自分の個人情報が流出しているのを止める方法は?
サイトの管理者に連絡して、なんとかしてもらうことしかない。もちろん、管理者が対応してくれなければ、なんともならない。
この事件の問題は、被害者が自分でなんとかすることができないことにある。
>> サイト利用者が自衛する方法は?
どのサイトが、危険なサイトであるかを iモード利用者が知ることは困難。もっとも確かな自衛方法は、 iモードでショッピングサイトを利用しないことくらいしかないのである。
[ Prisoner Langley ]
(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm
《ScanNetSecurity》