- PR -

顧客情報漏洩の調査:固有の記号使用

1
投稿者投稿内容
ロック
会議室デビュー日: 2003/11/20
投稿数: 2
投稿日時: 2003-11-20 11:31
ファミリーマートで、顧客情報漏洩の公表がありました。
今回の流出経路&範囲を調査するために、情報漏洩したと思われる会員から分析したと説明されてました。
 
 ※下記、特有の記号使用とはどのような方法があるか、ご教授頂けませんでしょうか?
  宜しくお願いします。

@情報をお寄せいただいた35名の会員の方々が登録に際し住所、氏名などに特有の記号を使用されており、架空債権回収業者からの請求書に同じ記号が使用されていました
アティ
ベテラン
会議室デビュー日: 2003/08/14
投稿数: 91
お住まい・勤務地: KANAGAWA
投稿日時: 2003-11-20 11:50
おそらくSQL文が書かれていたのでしょう。
SQLの発行に、ただ単に文字列の連結を使っていると、たとえば
"Select * from personal_info where id = '" + id + "'"
という文があった場合、idに「2000' or 1 = 1」が入力されると、SQL文が
Select * from personal_info where id = '2000' or 1 = 1
となり、where句が常に真なので、全データ取得されてしまいます。
これを防ごうとすると、JavaだとPreparedStatement等を使う必要があります。

セキュリティを向上させるなら、Formから送られてくる情報を信用するなってことです。

引用:

未記入さんの書き込み (2003-11-20 11:31) より:
ファミリーマートで、顧客情報漏洩の公表がありました。
今回の流出経路&範囲を調査するために、情報漏洩したと思われる会員から分析したと説明されてました。
 
 ※下記、特有の記号使用とはどのような方法があるか、ご教授頂けませんでしょうか?
  宜しくお願いします。

@情報をお寄せいただいた35名の会員の方々が登録に際し住所、氏名などに特有の記号を使用されており、架空債権回収業者からの請求書に同じ記号が使用されていました



追記:ありゃ、ちゃんと読んでなくて、特殊な記号の意味を間違えてました。

[ メッセージ編集済み 編集者: アティ 編集日時 2003-11-20 11:59 ]

[ メッセージ編集済み 編集者: アティ 編集日時 2003-11-20 12:02 ]

[ メッセージ編集済み 編集者: アティ 編集日時 2003-11-20 12:51 ]

[ メッセージ編集済み 編集者: アティ 編集日時 2003-11-20 12:52 ]
Gordie
ベテラン
会議室デビュー日: 2003/10/14
投稿数: 64
投稿日時: 2003-11-20 12:11
たとえば、ファミマに登録した住所だけ「○○町××☆」と住所の最後に星マークをつけておいたとします。名前なら苗字と名前の間に星マークとか。それで覚えのないところからの郵便物が住所の最後に星マークがついていたなら、ファミマから情報が流出したとわかるわけです。
私もやってますよ。MSへの登録住所は「MS」って書いていたりと非常にわかりやすいですが。



[ メッセージ編集済み 編集者: Gordie 編集日時 2003-11-20 12:26 ]
ロック
会議室デビュー日: 2003/11/20
投稿数: 2
投稿日時: 2003-11-20 13:28
Gordieさん
アティさん

 回答ありがとうございます。
成程、住所にマークを付けているのですか!
 ファミマが、顧客登録の際にある一定期間にマークを付けるようなシステムになっていて、それで住所等のどこかにマークが付いているのかと想像してました。
 上記のように想像していたので、情報漏洩をした犯人がシステム的に判別データを削除できるはずで、どのようにして解らないマークを付けていたかが疑問でした
 個人によるマーク付けのため、システム的に削除するような手間隙はかけれないわけですか。
(あたかも、ファミマがマークをつけて判別しているような説明のため。あくまで個人のセキュリティ意識の高いかたの自衛手段のおかげなのですね)
 
 勉強になりました。
未記入
ぬし
会議室デビュー日: 2002/03/28
投稿数: 255
投稿日時: 2003-11-20 20:50
> 上記のように想像していたので、情報漏洩をした犯人がシステム的に判別データを
>削除できるはずで、どのようにして解らないマークを付けていたかが疑問でした
そんなことしなくても,ダミーの名前を混ぜておけば解ることでは.

たとえば,山田太郎さんが一人暮らしだとして,名簿には山田一郎と登録しておけば,
同じ住所の山田一郎当てにダイレクトメールが来れば情報が漏洩したと解りますよね.
「バーサーカー」でも使われてた古い手です.解らないようにマークを付ける方法
なんていくらでもあります.
#TNGでも台本の一部にそういうしかけをして,台本が漏れた場合に誰の
#台本が漏洩したのか特定できるようにしていたこともあるという.

あ,ちなみにあくまでこういう古い手もあると言うだけで,ファミリーマートが
そういう手を取っていたと主張するものではありません.


[ メッセージ編集済み 編集者: 悪夢を統べるもの 編集日時 2003-11-20 20:53 ]
なか-chan@最愛のiMac
ぬし
会議室デビュー日: 2002/07/17
投稿数: 385
お住まい・勤務地: 和光市・世田谷区
投稿日時: 2003-11-21 08:38
Gordieさんこんにちは。

なるほど、今回の場合は、FMとでも最後につけていたんですかね。
今度から僕もそのようにしようかな...
番地を1−3−24−605−0001(連番)のようにして
データベースにしておいてもいいかな?面倒か...?
zanjibar
ぬし
会議室デビュー日: 2001/10/30
投稿数: 309
投稿日時: 2003-12-21 22:00
情報流出といえば、アイティフロンティアのローソン情報流出はどうなったんでしょう。
google の検索のキャッシュにしかもう残っていないようなんですが、

アイティフロンティア ローソン 情報 などとやるとでてきます。
http://216.239.57.104/search?q=cache:JcL-KP_x8qIJ:www.itfrontier.co.jp/news/news_01.cfm%3Fno%3D93+%E3%82%A2%E3%82%A4%E3%83%86%E3%82%A3%E3%83%95%E3%83%AD%E3%83%B3%E3%83%86%E3%82%A3%E3%82%A2%E3%80%80%E3%83%AD%E3%83%BC%E3%82%BD%E3%83%B3%E3%80%80%E6%83%85%E5%A0%B1&hl=ja&ie=UTF-8
zanjibar
ぬし
会議室デビュー日: 2001/10/30
投稿数: 309
投稿日時: 2003-12-22 07:10
アイティフロンティアですが、単になんか不調だったみたいです。http://www.itfrontier.co.jp/news/news_01.cfm?no=93 で見れます。
これは、プレスリリースの一覧には載っていないような見えます。
1

スキルアップ/キャリアアップ(JOB@IT)