【マンスリーレポート　2002/01】i モードECサイトの購入者情報が外部から丸見えに！

　Scan 編集部では、毎月、その月のセキュリティ状況をとりまとめたレポートを翌月にマンスリーレポートとして発表します。
　レポートは、ウィルスの被害状況、事件状況、事後対応状況の3つです。その要約をお届けします。

　今年1月7日、i モードからアクセスできるECサイト（公式のものではなく、いわゆる勝手サイト）から、購買履歴のある個人の情報が流出するという事件が起きた。

　対象となったのは推定で約200のi モードECサイト。そのなかには、食品や物産、衣料品などのほかに、アダルトグッズの販売サイトも含まれている。そして、それらのi モードECサイトを利用した購入者の住所、氏名、電話番号といった個人情報や、購入した具体的な商品名もネット上で外部から閲覧可能になっていたのである。これらのECサイトに共通していたのは、インターネット上で一般的に有料配布されているサイト構築ツールを使用してサイト構築していたということだ。

　被害にあったi モードECサイトのある管理者が匿名を条件にメール取材に答える。

「個人で商売をしていたが、より販路を拡大しようと考えてi モードECサイトを開設した。サイト構築の際には、インターネット上や書籍を調べて、簡単そうなサイト構築ツールを使ってつくった。有料のツールだし、セキュリティに関しては問題ないとこちらは信じているし、セキュリティに対する知識がそれほどあるわけでもない。簡単、手軽に商売になるということでやっているわけだし、コストもかけられない」

　ちなみに、このi モードECサイトでは、今回取材をするまで購入者情報が漏れていることは知らなかった。

>> 公開ツールには初期設定ミスがありえる

　このような一般的に配布され、入手が可能なツールに関しては、知識さえもちあわせていれば、重要な情報がどこに格納されているか、ある程度特定することができる。また、そうした悪知恵を公開しているウェブサイトや書籍も存在する。しかし、一方では、そうしたファイルは厳重にガードされているのが普通であり、外部からそう簡単には閲覧できないとされている。

　ただ公開されているツールやソフトウエアには、デフォルト（初期設定）段階でミスがあることが珍しくない。なにしろ、普通に販売されているパーソナルコンピュータにバンドルされている各種のソフトウエアにさえ、デフォルトでの設定ミスがあるぐらいだ。

　そう言われたところで、十分な知識を持ち合わせていない一般のユーザが検証を行うのは簡単ではないが、安いから、手軽だからという理由で安易に飛びつくことが高い危険性をもつのは、電子ネットワークであれ現実社会であれ同じことである。とりわけインターネットなどの電子ネットワーク上で何かを利用する前には、信用のおける知人・友人やサイト、書籍・雑誌を利用して方法を収集することは不可欠ともいえる。

　さて、前出のi モードECサイトを利用した購入者は2人。やはり、住所やメールアドレスなどの情報が外部から丸見えになっていたが、取材後に管理者がサイトを閉鎖、購入者に対してはお詫びのメールを送っている。その他、20ほどのi モードECサイトを調べてみたが、5つを除いてすでに閉鎖されていた。
　すでに閉鎖した別のサイトの管理者が、やはり匿名を条件にメール取材に応じた。

【執筆：井上トシユキ】

詳しくは「ダイヤモンド・セキュリティ・レビュー」本誌をご覧ください。
http://www.vagabond.co.jp/vv/m-dsr.htm

───────────────
ウイルスのマンスリーレポートは「Scan Daily Express」に掲載されております。詳しくは下記をご覧ください。
http://www.vagabond.co.jp/vv/m-sdex.htm
なお、Scan本誌ではウイルス・インシデント・事後対応のマンスリーレポートすべてをご覧いただけます。
http://www.vagabond.co.jp/vv/m-sc.htm
今月のタイトル
【「BADTRANS.B」が引き続き猛威をふるう】
【iモードECサイトの購入者情報が外部から丸見えに！】
【UFJ銀行のサーバにセキュリティホールが！】
【インシデント事後対応ベストはソニー、ワーストはUFJ銀行】
───────────────