ZAPAnet総合情報局 > ZAPAブログ2.0 > 吉本の個人情報流出は、「外部から侵入された」わけではない

吉本の個人情報流出は、「外部から侵入された」わけではない

2008年11月14日 プログラミングTIPS
吉本興業の個人情報がだだ漏れだった件についての後に、各新聞でも吉本興業の個人情報流出が報道されました。

そのうち、朝日新聞では次のように報道されていました。
asahi.com(朝日新聞社):吉本興業、1万5千人のアドレス流出 メルマガ登録者 - 社会
流出したのは01年7月から今年3月までに登録した人の一部。今年春に切り替えた、データを管理するコンピューターのセキュリティーに問題があり、外部から侵入されたとみられるという。登録者にはメールや文書でおわびするとしている。
外部から侵入された」とあります。

こういう書き方をされると、スーパーハッカーがサーバーの設定ミスを突いて、スーパテクニックを駆使して侵入したような誤解を受けてしまう可能性があります。 「外部から侵入された」では、複雑なコマンド操作を用いて、本来はアクセスできるはずのないデータにたどり着いたようなイメージを持ってしまいます。

でも実際は、「吉本興業自らが、登録された個人情報をすべての人に公開していた」だけのことです。外部から侵入されたのではなく、誰でもアクセスできる状態にしていました。

原因のひとつが、「ディレクトリの中身を丸見え」にしていたことです。「https://www.yoshimoto.co.jp/cgi-bin/」にアクセスするだけで、このディレクトリ内が丸見えになっていました(右画像参照)。
ここから、個人情報が格納されているデータファイルにアクセスするだけで、個人情報が見えるようになっていました。

ディレクトリの丸見えを防ぐには、index.htmlなどのファイルを置いておくか、Apacheなどの設定を変えておく必要があります。
ITmedia エンタープライズ : Linux Tips「index.htmlが無いとディレクトリが丸見えになってしまう」

それから、個人情報を格納したデータファイルは、外部からアクセスできるようにしてはいけません。ディレクトリ内が丸見えになっていなくても、適当にアドレスを入力するだけでアクセスされてしまう可能性があります。外部からのアクセスを拒否するために、正しいパーミッション設定をしておくべきでした。

さらに、パーミッション設定のミスなどを防ぐために、そもそも「公開ディレクトリに個人情報は置かない」のが正しい対処法です。

警視庁のサイトにも載っています。
個人情報流出防止 :警視庁
最近、企業等のウェブサイトから、資料・案内請求者や、アンケートの回答者、懸賞応募者などの個人データが流出する事案が多発しています。

 この原因は、個人情報が格納されたファイル自体が、ウェブ上の公開ディレクトリに蔵置されていたためであり、発見されたサイトのURLが特定の掲示板に掲載されたため、問題が一斉に顕在化しているものです。

 したがって、システム管理者の簡単な設定ミスである場合が多く、このような場合は「不正アクセス」には該当しません。新システムへの移行時やサーバーの入れ替え時には、特に注意しましょう。
まさに今回の吉本興業の個人情報流出の件に該当します。しかも、このような場合は「不正アクセスに該当しない」と明確に記述されています。

したがって、朝日新聞社が報道した「外部から侵入された」という表現は誤解を生みます。「吉本興業が個人情報を外部に公開していた」というのが正しい内容です。

吉本興業の正式発表によると、
お客様情報の流出に関するお知らせ(PDF)
1.流出したお客様情報の概要
本年11月12日時点で確認されている流出個人情報は、以下のとおりです。

流出した個人情報の総件数 15836件
うち、ご連絡先メールアドレスを含むもの 15836件
住所・氏名を含むもの 1907件
電話番号を含むもの 11件
だそうです。15836人もの情報が流出してしまいました。

単純な設定ミスによって個人情報を流出させてしまわないように、公開前にしっかりとチェックする必要がありますね。