サーチエンジン infoseek のメール転送サービスで個人情報漏洩

　2月28日、楽天株式会社の子会社であるサーチエンジン infossek のメール転送サービスで一部のメールが利用者本人以外の第三者に転送される問題が発生した。
　同社は、2月28日 16:56 に問題を発見し、22:57 に対処をシステムの対処を完了した。
　利用者に対しては、問題発見後から対処までの過程を WEB 上に掲載するとともに、お詫びのメールを送信するなど問題の対処を行った。
　問題発見から一連の事後対応処理までは、同種の他の事例に比較すると迅速に行われたといえる。

　この問題は、 infossek のメール転送サービスに存在したセキュリティホールに起因するもので、特殊文字が名前欄に含まれていた場合に不具合が発生するものである。
　特殊文字を使用していた利用者のメールは、複数の第三者に転送されていた。また、誤って転送されたメールに対して返信すると、その返信メールも異なるアドレスに送られる事態も発生していた。
　誤って転送されたメールの文章やシグネチャ（メールの末尾にいれる発信者の氏名、アドレス、電話番号などの情報）から個人情報が漏洩した。

　多くのポータルサイトでは、定常的なアクセスを確保するために、無料のメール転送サービスを提供している。会社からインターネットに接続している場合やオークションへ入札する場合、プロバイダから提供されたアドレスを使いたくない場合など、さまざまな場面で利用されている。とはいえインターネット上のサービス全般にいえることであるが、転送サービスのセキュリティを保証するものはなにもないため、利用者は自分自身で利用するサービスの安全性の確保を考える必要がある。

　また、サービスそのものの安全性だけでなく、インシデント発生後の事後対応状況も考えておく必要がある。
　インシデントは、どのようなサービスにも、起こりうる可能性がある。インシデントが発生した際に、いかに迅速に対処できるかは、利用上留意しなければならない重要なポイントである。インシデントが掲示板などで公開された後にそれを悪用する２次被害の規模が、最初のインシデント発見時の被害規模を上回ることもある。

　infoseek は、昨年11月に「マンスリーレポート　インシデント事後対応ベスト」に選ばれている。11月のインシデントでは、問題発見から対処までわずか3時間が完了している。

[ Prisoner Langley ]

インフォシークより転送メール不具合のお知らせ
http://community.www.infoseek.co.jp/CHome?pg=cs_message.html&sv=RR
infoseek　転送メールをご利用の皆様への誤転送について
http://forward.infoseek.co.jp/forward_0228.html

□関連情報

【マンスリーレポート　2002/11】インシデント事後対応ベストは、カカクコム、インフォシーク　ワーストは、UFJつばさ証券(2002.12.18)
https://www.netsecurity.ne.jp/article/1/7920.html
【マンスリーレポート　2002/11】規範となるべき事後対応
【インフォシーク】(2002.12.18)
https://www.netsecurity.ne.jp/article/1/7919.html
事後対応、マネジメントリスクまで含めたセキュリティの実例情報を配信 (2002.12.16)
https://www.netsecurity.ne.jp/article/1/7882.html
有効な事故対応とは？(2001.10.5)
https://www.netsecurity.ne.jp/article/1/2971.html
事後対応でわかる企業姿勢　不十分なアナウンスの UFJ銀行と適切なアナウンスと対処のソニー(2002.1.25)
https://www.netsecurity.ne.jp/article/1/3803.html