Langley のサイバーノーガード日記 情報漏えい発覚後も放置しつづける大手Webサービス
筆者が定期的にリマインドしている話題であるが、個人情報漏えいは無くならない。無くならないどころか、漏えいしていることがわかっていても、放置して顧みることがない事業者さんもいる。
特集
特集
100万人以上のメールアドレス漏えいを民間の研究者が発見
https://www.netsecurity.ne.jp/1_12571.html
http://netsecurity.blog77.fc2.com/blog-entry-16.html
利用者無視の通報対策裏マニュアルが存在する?
https://www.netsecurity.ne.jp/3_12518.html
サイバーセキュリティ賢者の選択−自分が被害者で発見者になってしまったら
https://www.netsecurity.ne.jp/3_12470.html
筆者が2008年の11月に発見し、関係諸機関を通じて通報したサイトの、最大100万件近くのメールアドレス漏えいは、なんとその後も(この原稿を書いている現在も)順調に継続中である。
いまだに、簡単な操作で個人情報(メールアドレス)を見ることができる。当該業者さんにも、IPAさんにも通報したので、筆者ができることはこれ以上ない。あとは、実名をさらすことくらいだが、あまりにも簡単にメールアドレスを見ることができるので、悪用する人がいそうだから、ちょっと怖くてできない。
知らずに被害者になっている人のために、リマインドしておこう。このサイトは、メールマガジンの配信スタンドである。メールマガジンを取っている人は、チェックした方がいいと思う。メールマガジンが届くメールアドレスで検索すれば、もし漏えいしていればヒットするはずだと思う。
それ以外に確認する方法としては、サーチエンジンの検索窓で特定のサイト上に限定してメールアドレスを検索するのである。
例えば、google だとこんな感じになる。
@docomo.ne.jp site:*****
@ezweb.ne.jp site:*****
*****には、読者諸兄が自分のメールアドレスを登録した気になるサイトを入れるとよい。当然、「@docomo.ne.jp」の箇所は、「@yahoo.co.jp」でも「@nifty.com」でもかまわないわけであるが、なぜか、「@docomo.ne.jp」と「@ezweb.ne.jp」で検索した方が見つかりやすい。
では、不幸にして自分のアドレスを見つけたら、どうするか? 不幸にして自分のアドレスを見つけてしまった場合は、常識的には下記のような対処を行うべきであるはずなのであるが……
・メールマガジン発行者に連絡する
・メールマガジン配信スタンドに連絡する
・当該サイトに連絡する
・IPAに連絡する
こうすると、メールマガジン発行者やIPAから当該サイトに連絡が行くはずである。常識あるサービスならば、この時点で対処してくれるはずである。
ところが、サイトによっては、そうしてくれないところもある。小さいサイトだからというわけではなく、サイト運営者の倫理観とかの問題のようだ。
昨年11月からメールアドレス漏えいを続けているサイトは、のべ100万人の利用者を抱えるそれなりの規模のサービスなのである。サイトの規模と倫理観は、全く比例関係にはない。
ついでに言うと、昨年の同じ頃、筆者が発見し、情報漏えいを指摘させてもらったとある業界最大手のとあるサービスは、登録者がのべ1,000万人を超えているそうである。ここは情報漏えいには迅速に対処した。そこまでは良いが、今度はその事実を公表していない。つまり利用者は、自分の個人情報が漏えいしたかもしれないことを知らないのである。もちろん、この、とある業界最大手のとあるサービスは、プライバシーマークもちゃんと取っている業者である。
ことほど左様に、サイトの信頼性というのは、その規模やマークの取得によっては判断できない。
閑話休題。じゃあ、どうすればよいか? それは、ひたすら、いやな客になってクレームをつけるしかない。実は、大変申し訳ない話であるが、ちゃっかり筆者は、自分だけ、自分のアドレスが載っているとこだけを削除してもらった。方法は簡単だ。
警察に訴えてやると、メールマガジン制作者とそのサイトにしつこくクレームをつけたのである。そしたら、そこだけ対処してくれた。このサイトのメールマガジン発行システムには、いったん作ったログファイルを削除する機能がなく、そのためにいったん事故で出来てしまった読者のアドレス入りのログファイルを削除できないのである。
そのようなクレーマーまがいのことをするのは気が引けるという紳士淑女もおられると思う。その気持ちは大変よく理解できる。個人情報と、クレーマーまがいのことまでしたくないという意識を天秤にかけて、どちらを取るかご自身で判断していただきたい。筆者などは迷いなく、クレーマーを選んだわけである。
逆に言うと、この事例が示す通り、手動でひとつずつ消せば消せるのだ。それをやらないのは、ただ面倒くださいからだと思う。なので、しつこくクレームをつけ、面倒くささを上回る怖さを感じさせれば勝ちである。不幸にして被害者になってしまった方は、がんばってクレームをつけてほしい。
日本の法律やIPAが面倒くさをはるかに下回る怖さしかないのは、とても残念なことではあるが、これも仕方がないのであろう。
【執筆:Prisoner Langley】
執筆者略歴:
民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア著作権協会(ACCS)のセキュリティ事件の際、セキュリティ対策のひとつとして「サイバーノーガード戦法」を提唱。
4コママンガを描くこともある。執筆依頼はSCAN編集部まで
【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》