2003年12月15日(月) 19時04分

【マンスリーレポート2003/11】不正アクセスで個人情報が盗まれる危険性があらためて浮き彫りになったACCSの問題（Scan）

　ACCS（社団法人コンピュータソフトウェア著作権協会）は11月11日、同協会が運営するサイトの質問フォーラムにおいて、ここに入力された個人情報が閲覧可能であったことを発表した。流出した個人情報は1,184名分になるという。なぜ、このような事件が起きたのか、その詳細を報告する。


>> 個人情報を管理するサーバのcgiに問題があり

　今回の問題は11月9日に、ある「第三者」からACCSに対し、「ACCSのホームページ上から個人情報を入手できる」という内容の電子メールが送られたことで発覚した。具体的には、ACCSが運営するホームページの一つである、「著作権・プライバシー相談室〜ASK ACCS」（ http://www.askaccs.ne.jp/ ）上の質問フォームから、そこに記入していた個人の情報が、他のインターネットユーザによって入手できる状態に置かれているというものであった。

　ACCSでは、送られてきた電子メールに添付されていたファイルに書かれた個人情報が、ACCSの保有している情報と同一であったことから、この指摘が事実であると認識。11月11日の発表後、11月12日の未明0時30分には問題のあった「ASK ACCS」のCGI機能を停止するなど、技術面での緊急措置を実施した。

　それでは、なぜ、ACCSのホームページ上から個人情報が入手可能な状態となっていたのだろうか。この問題を指摘した「第三者」によると、原理的には「サーバの中のファイル表示をする機能を持つcgiが、制限無くどのようなファイルをも表示できるようになっていた」という。つまり、HTMLソースを見て、「ファイル表示機能を持つcgi」と理解できる人間であれば、ファイル名を指定するだけで、サーバ内のあらゆる情報を見ることができる可能性があるというのだ。


>> みずほ証券の顧客情報流出と同じパターン

　この「第三者」によれば、「基本的には2002年4月に起こった『みずほ証券』のサイトから個人情報が流出した事件と同じパターン」であるという。「cgi本来の表示機能を利用するにあたって、ファイル名を指定するべき場所に、閲覧しようとするファイル名を指定するだけ個人情報を入手できてしまう。その作業は普通、『特別な操作』とは言わない」と、「第三者」は多くの人間がACCSのサイト上から個人情報を入手できる可能性があったことも、あわせて指摘している。


【執筆：下玉利 尚明】

https://www.netsecurity.ne.jp/article/1/11850.html




最新のセキュリティ情報メールマガジンの申込みはこちらから
http://www.vagabond.co.jp/c2/scan/ct.html（Scan）

http://headlines.yahoo.co.jp/hl?a=20031215-00000011-vgb-sci