単純ミス、アプリケーションへの攻撃でウェブサイトに要注意(1)
後を絶たない個人情報漏洩や盗難事件だが、漏洩元はウェブサイトであったということも多い。原因は幾つかあるが、不注意により誤ってウェブに情報を載せてしまったもの、ウェブ・アプリケーションが攻撃されたというのが主なものだ。この2種類について事例を追いながら
特集
特集
●子どものデータをうっかりウェブに
2004年2月、ニューヨーク州政府から業務を請け負う企業が誤って、子どもの氏名、生年月日、および昼間どこにいるかといった情報をインターネットに流してしまうという事件があった。
漏洩したのは子どもたちのデータだけでなく、里親と低所得層家庭の住所、氏名などで、2件の別個のデータベースが誤ってウェブサイトに流れた。1件はコンピュータ・プログラマが2004年1月22日、臨時ヘルパーを探すために、意図的に載せたものだ。もう1件については、なんとその前年2003年11月からウェブサイトに掲示されていたという。
流出元となったのはニューヨーク州リビングストン郡事務所児童家庭課。インターネットに情報を出していることに数週間も気付かず、あるいは承知の上で、MSNBC.comが発見、通知して慌てて削除するという有様で、行政側の姿勢が問われた。
被害を受けた人数については数百人とされている。通知を行ったかなど詳細を問い合せたが回答はなかった。特に子どもの個人情報については社会が非常に敏感に反応するが、本事件については、結局は特に被害があったわけではないので、州事務所もさほど非難を受けずにすんだ。
●大学でも単純ミスで情報流出
同じく2004年2月、ニューヨーク大学で学生、教授、卒業生などの個人情報2100件分が、大学の運営するウェブサイトに漏洩した。
含まれていた情報は氏名、社会保険番号、生年月日、住所、e-mailアドレス、電話番号で2002年8月から2003年12月5日までの間に集められたデータで、メーリングリスト数件が誤ってウェブサーバに流れた。大学側は事件が明らかになってすぐに問題のリストをサーバから削除。情報漏洩の被害にあった学生たちに通知を行い、今後しばらく定期的なセキュリティチェックを行うことを勧告した。
【執筆:バンクーバー新報 西川桂子】
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》