多数の i モード EC 構築用CGI で個人情報が多数流出の危険(2002.1.7)
〜ネットで配布されている CGI 利用者はパーミッション設定に注意を!〜
製品・サービス・業界動向
業界動向
シェアウェアの iモード用 EC サイト構築用CGI システムを導入している多くの EC サイトがパーミッションの設定ミスにより、個人情報が閲覧可能な状態になっていることがわかった。
閲覧可能な個人情報は氏名、住所、電話番号に加えて、購入日や購入商品の推定も容易である。
このシェアウェアは、少なく見積もっても、200以上の EC サイトで利用されており、個人情報が閲覧可能な状態になっているサイトの数は、そのうちかなりの比率になると推定される。
一部の掲示板などでは、パーミッションミスのサイトに関する情報交換のスレッドがたっており、数多くのパーミッションミスのサイトの個人情報が閲覧されている危険性がある。
iモードのシェアウェア EC 構築用CGI を利用している管理者は、チェックが必要である。
この問題は、今回はたまたま利用者の多い特定の CGI で発生したが、インターネット上で配布されている CGI には、同種の問題が常に存在している。CGI そのものが配布されているということは、ディレクトリやファイル名が自由に誰でも知ることができる。そのため、個人情報などの重要な情報がどのディレクトリあるいはファイルにあるかが、特定できてしまう。
そのファイルあるいは適切な設定がされていないと、本来見られてはいけない情報が閲覧されてしまうことになってしまう。
インターネット上で配布されているCGI シェアウェアを利用しているサイトはパーミッション設定のチェックが必要である。
インターネットではさまざまなサイトで CGI が配布されており、利用者は手軽に設置し、利用することが可能となっている。
しかし、その一方で、手軽さゆえに、じゅうぶんな知識持たないあるいは注意不足な状態で設置していることも少なくない。
過去にも単純なパーミッション設定ミスで個人情報が閲覧可能な状態になっていた事件も少なからずあった。
個人情報など重要な情報を扱う CGI を設置する際には、じゅうぶんな注意が必要である。
*本記事は、CGI のパーミッション設定に関する注意喚起を目的としております。悪用をさけるため CGI が特定されるような部分の固有名詞は伏せてあります。
事態が沈静化した段階で必要があれば詳細な情報を公開いたします。
関連記事(ここ1年くらいの個人情報流出事件の一部)
顧客情報流出の原因は個人情報ファイルをそのままおいていたため(2001.7.24)
https://www.netsecurity.ne.jp/article/1/2478.html
求職者の個人情報を露呈(ITNet 社)(2001.8.9)
https://www.netsecurity.ne.jp/article/2/2627.html
島さとし議員のWebサイト、ディレクトリのパーミッションを設定ミス(2001.12.5)
https://www.netsecurity.ne.jp/article/1/3456.html
不完全なシステムと初歩的ミス 明治乳業が顧客リスト1万件流出(2001.10.29)
https://www.netsecurity.ne.jp/article/1/3143.html
Nimda ウィルスによって顕在化するずさんなサイト管理 利用者から公開質問状を掲載などの抗議が増加(2001.9.23)
https://www.netsecurity.ne.jp/article/8/2873.html
JPINICのメールマガジンサービスに第三者の個人情報が閲覧できるセキュリティホール 氏名、住所、電話番号などが漏洩の危険(2001.9.3)
https://www.netsecurity.ne.jp/article/1/2749.html
地域コミュニティサービス「COOL ONLINE」の会員データ1万件以上が外部閲覧可能な状態に(2001.4.24)
https://www.netsecurity.ne.jp/article/1/2022.html
田沢湖町webのプレゼント応募者リストが流出(2001.4.19)
https://www.netsecurity.ne.jp/article/1/1988.html
キーマンズネットが会員情報管理の不備で一部サービスを停止(2001.3.19)
https://www.netsecurity.ne.jp/article/1/1815.html
サーバモンキーの亜種 CGIモンキー発見される(2001.12.6)
https://www.netsecurity.ne.jp/article/1/3459.html
[ Prisoner Langley ]
(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm
《ScanNetSecurity》