多数の i モード EC 構築用CGI で個人情報が多数流出の危険(2002.1.7) | ScanNetSecurity
2024.05.04(土)

多数の i モード EC 構築用CGI で個人情報が多数流出の危険(2002.1.7)

〜ネットで配布されている CGI 利用者はパーミッション設定に注意を!〜

製品・サービス・業界動向 業界動向
facebookLINE
〜ネットで配布されている CGI 利用者はパーミッション設定に注意を!〜

 シェアウェアの iモード用 EC サイト構築用CGI システムを導入している多くの EC サイトがパーミッションの設定ミスにより、個人情報が閲覧可能な状態になっていることがわかった。
 閲覧可能な個人情報は氏名、住所、電話番号に加えて、購入日や購入商品の推定も容易である。

 このシェアウェアは、少なく見積もっても、200以上の EC サイトで利用されており、個人情報が閲覧可能な状態になっているサイトの数は、そのうちかなりの比率になると推定される。

 一部の掲示板などでは、パーミッションミスのサイトに関する情報交換のスレッドがたっており、数多くのパーミッションミスのサイトの個人情報が閲覧されている危険性がある。

 iモードのシェアウェア EC 構築用CGI を利用している管理者は、チェックが必要である。

 この問題は、今回はたまたま利用者の多い特定の CGI で発生したが、インターネット上で配布されている CGI には、同種の問題が常に存在している。CGI そのものが配布されているということは、ディレクトリやファイル名が自由に誰でも知ることができる。そのため、個人情報などの重要な情報がどのディレクトリあるいはファイルにあるかが、特定できてしまう。
 そのファイルあるいは適切な設定がされていないと、本来見られてはいけない情報が閲覧されてしまうことになってしまう。

 インターネット上で配布されているCGI シェアウェアを利用しているサイトはパーミッション設定のチェックが必要である。

 インターネットではさまざまなサイトで CGI が配布されており、利用者は手軽に設置し、利用することが可能となっている。
 しかし、その一方で、手軽さゆえに、じゅうぶんな知識持たないあるいは注意不足な状態で設置していることも少なくない。

 過去にも単純なパーミッション設定ミスで個人情報が閲覧可能な状態になっていた事件も少なからずあった。

 個人情報など重要な情報を扱う CGI を設置する際には、じゅうぶんな注意が必要である。

*本記事は、CGI のパーミッション設定に関する注意喚起を目的としております。悪用をさけるため CGI が特定されるような部分の固有名詞は伏せてあります。
 事態が沈静化した段階で必要があれば詳細な情報を公開いたします。


関連記事(ここ1年くらいの個人情報流出事件の一部)

顧客情報流出の原因は個人情報ファイルをそのままおいていたため(2001.7.24)
https://www.netsecurity.ne.jp/article/1/2478.html

求職者の個人情報を露呈(ITNet 社)(2001.8.9)
https://www.netsecurity.ne.jp/article/2/2627.html

島さとし議員のWebサイト、ディレクトリのパーミッションを設定ミス(2001.12.5)
https://www.netsecurity.ne.jp/article/1/3456.html

不完全なシステムと初歩的ミス 明治乳業が顧客リスト1万件流出(2001.10.29)
https://www.netsecurity.ne.jp/article/1/3143.html

Nimda ウィルスによって顕在化するずさんなサイト管理 利用者から公開質問状を掲載などの抗議が増加(2001.9.23)
https://www.netsecurity.ne.jp/article/8/2873.html

JPINICのメールマガジンサービスに第三者の個人情報が閲覧できるセキュリティホール 氏名、住所、電話番号などが漏洩の危険(2001.9.3)
https://www.netsecurity.ne.jp/article/1/2749.html

地域コミュニティサービス「COOL ONLINE」の会員データ1万件以上が外部閲覧可能な状態に(2001.4.24)
https://www.netsecurity.ne.jp/article/1/2022.html

田沢湖町webのプレゼント応募者リストが流出(2001.4.19)
https://www.netsecurity.ne.jp/article/1/1988.html

キーマンズネットが会員情報管理の不備で一部サービスを停止(2001.3.19)
https://www.netsecurity.ne.jp/article/1/1815.html

サーバモンキーの亜種 CGIモンキー発見される(2001.12.6)
https://www.netsecurity.ne.jp/article/1/3459.html


[ Prisoner Langley ]

(詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  6. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  7. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

  10. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

ランキングをもっと見る
ホーム 製品・サービス・業界動向 業界動向 記事
TOP