吉本の個人情報流出は、「外部から侵入された」わけではない
2008年11月14日 プログラミングTIPS
吉本興業の個人情報がだだ漏れだった件についての後に、各新聞でも吉本興業の個人情報流出が報道されました。
そのうち、朝日新聞では次のように報道されていました。
こういう書き方をされると、スーパーハッカーがサーバーの設定ミスを突いて、スーパテクニックを駆使して侵入したような誤解を受けてしまう可能性があります。 「外部から侵入された」では、複雑なコマンド操作を用いて、本来はアクセスできるはずのないデータにたどり着いたようなイメージを持ってしまいます。
でも実際は、「吉本興業自らが、登録された個人情報をすべての人に公開していた」だけのことです。外部から侵入されたのではなく、誰でもアクセスできる状態にしていました。
原因のひとつが、「ディレクトリの中身を丸見え」にしていたことです。「https://www.yoshimoto.co.jp/cgi-bin/」にアクセスするだけで、このディレクトリ内が丸見えになっていました(右画像参照)。
ここから、個人情報が格納されているデータファイルにアクセスするだけで、個人情報が見えるようになっていました。
そのうち、朝日新聞では次のように報道されていました。
流出したのは01年7月から今年3月までに登録した人の一部。今年春に切り替えた、データを管理するコンピューターのセキュリティーに問題があり、外部から侵入されたとみられるという。登録者にはメールや文書でおわびするとしている。「外部から侵入された」とあります。
こういう書き方をされると、スーパーハッカーがサーバーの設定ミスを突いて、スーパテクニックを駆使して侵入したような誤解を受けてしまう可能性があります。 「外部から侵入された」では、複雑なコマンド操作を用いて、本来はアクセスできるはずのないデータにたどり着いたようなイメージを持ってしまいます。
でも実際は、「吉本興業自らが、登録された個人情報をすべての人に公開していた」だけのことです。外部から侵入されたのではなく、誰でもアクセスできる状態にしていました。
原因のひとつが、「ディレクトリの中身を丸見え」にしていたことです。「https://www.yoshimoto.co.jp/cgi-bin/」にアクセスするだけで、このディレクトリ内が丸見えになっていました(右画像参照)。ここから、個人情報が格納されているデータファイルにアクセスするだけで、個人情報が見えるようになっていました。
ディレクトリの丸見えを防ぐには、index.htmlなどのファイルを置いておくか、Apacheなどの設定を変えておく必要があります。
それから、個人情報を格納したデータファイルは、外部からアクセスできるようにしてはいけません。ディレクトリ内が丸見えになっていなくても、適当にアドレスを入力するだけでアクセスされてしまう可能性があります。外部からのアクセスを拒否するために、正しいパーミッション設定をしておくべきでした。
さらに、パーミッション設定のミスなどを防ぐために、そもそも「公開ディレクトリに個人情報は置かない」のが正しい対処法です。
警視庁のサイトにも載っています。
最近、企業等のウェブサイトから、資料・案内請求者や、アンケートの回答者、懸賞応募者などの個人データが流出する事案が多発しています。まさに今回の吉本興業の個人情報流出の件に該当します。しかも、このような場合は「不正アクセスに該当しない」と明確に記述されています。
この原因は、個人情報が格納されたファイル自体が、ウェブ上の公開ディレクトリに蔵置されていたためであり、発見されたサイトのURLが特定の掲示板に掲載されたため、問題が一斉に顕在化しているものです。
したがって、システム管理者の簡単な設定ミスである場合が多く、このような場合は「不正アクセス」には該当しません。新システムへの移行時やサーバーの入れ替え時には、特に注意しましょう。
したがって、朝日新聞社が報道した「外部から侵入された」という表現は誤解を生みます。「吉本興業が個人情報を外部に公開していた」というのが正しい内容です。
吉本興業の正式発表によると、
1.流出したお客様情報の概要だそうです。15836人もの情報が流出してしまいました。
本年11月12日時点で確認されている流出個人情報は、以下のとおりです。
流出した個人情報の総件数 15836件
うち、ご連絡先メールアドレスを含むもの 15836件
住所・氏名を含むもの 1907件
電話番号を含むもの 11件
単純な設定ミスによって個人情報を流出させてしまわないように、公開前にしっかりとチェックする必要がありますね。