- - PR -
約460万人分の個人情報流出 ?
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2004-02-24 22:37
それにしてもすごい規模ですね。
これだけの規模となると、さすがにハッカーでは無理かな??? http://www.asahi.com/national/update/0224/043.html |
|
投稿日時: 2004-02-25 14:15
こんにちは。
確かに数字のインパクトとしてはデカイ(一般紙の一面向きの)ものがありますよね。 個人的な印象としては「起こるべくして起きたなー。」というカンジです。 記者会見発表の情報管理システム図、あれじゃタダの家庭内LANじゃないですか…。(まさか、財産情報を含めた全ての個人情報をあの形態で管理しているとは思いませんが…。) 流出の数ばかりが先行していて、当事者ですら「口座情報やクレジット番号」などはもちろん、「アカウント情報」など、何らかの直接被害の危険性の高い項目の流出量を把握していないように思える事の方が危険だと思っています。 しかも、「もれているのは今回のものだけではないという事が十分にあり得る。」と個人的には思います。 ただし、いまやクレジット番号でさえネット上で二束三文でやり取りされている現状(今回はまとまった数の発覚でニュースになっただけという面もある)ですので、今すぐどうのこうのということも少ないとは思いますが。 しかし、今回のケースでは少々心配な点もあります。 誤解を恐れずに言えば、当該業者を選択する人には「料金の安さやイメージ」のみを選択基準にしていて、リテラシーやセキュリティー意識が低く、環境的にも心理的にも無防備な方が多いと感じます。(もちろん、あえて指名買いの有識者も多数いらっしゃると思いますが。) そのため、この会議室でも度々話題にのぼっている「IEのサイト偽装が絡んだフィッシング」などの手口が起きた場合の危険性を私も危惧しています。 ニュースで不安を覚えたユーザーに「〜今回はご迷惑をおかけいたしました。つきましてはお支払い方法の再確認を下記サイトにて〜」のような文面の「ロゴ入りHTMLメール」が届いたと想像するとちょっと恐ろしくなります。 そうなると、今回発覚した(報道された)漏洩データに含まれる情報が危険性の低いものであった場合でも、間接的に大きな被害を与えるといったことになりかねないですからね。 いずれにしても、個人情報管理やユーザーの自衛を含めた正しいセキュリティー意識の浸透が進むのを祈るばかりです。 それでは。 |
|
投稿日時: 2004-02-25 14:23
ほぼ間違いなく最初の漏洩は内部の人間の犯行でしょう?
皆さんどう思いますか? |
|
投稿日時: 2004-02-25 15:01
素朴な疑問ですが、今回の場合どういったデータ形式の形でもれたのでしょうね?
1件500バイトのデータとしても、460万件で約2GB。 犯人はDVDで持っていたと報道されてます。 まさか、2GBのCSV形式データではないでしょうね。 データベースのデータファイルそのままの形だったら間違いなく内部犯行でしょうね。 そうなると取り扱える人間も限られてくるので、犯人もすぐに絞られてきて、すぐに つかまると思います。 これで、犯人の特定にてこずったら、ますますYahooの管理体制はメチャクチャという ことになるでしょう。 |
|
投稿日時: 2004-02-25 16:19
maruさんこんにちは。
>まさか、2GBのCSV形式データではないでしょうね。 http://internet.watch.impress.co.jp/cda/news/2004/02/25/2204.html によると、 提示されたデータは、湯浅容疑者がMicrosoftのACCESSベース、 木全容疑者がエクセルベースだった。 そうです... |
|
投稿日時: 2004-02-25 16:20
ここは、顧客情報へのアクセスを詳細にロギングしてないのでしょうか。
ロギングしていれば、仮に460万件という数値が本当だとして、460万件SELECTした奴が いたら一発でバレますよね。普通のオペレーションやアプリでは、そんなに多数が ヒットするような操作は絶対無いと思いますし。SQLをサポートしたRDBMSの場合ですけれど。 もしくは、OracleのコールドバックアップみたいにDBファイルごとごっそり持って 行ったのでしょうか。コールドバックアップを書き込んだテープを持ち出して中身を吸い出し、 後でDVDにコピーしたとか。そうなると、内部でもシステムの構築要員か保守運用要員が 怪しいですねえ。 どっちにしろ内部(YBBだけでなく協力会社も含めてシステムの開発・運用側)の犯行に 見えますね。 [ メッセージ編集済み 編集者: おばけ 編集日時 2004-02-25 16:21 ] |
|
投稿日時: 2004-02-25 16:33
なか-chanさん、こんにちは。
460万人の個人データが漏れたというのも驚きですが、AccessやExcelに落とし込んでいた というのも驚きですね。Accessも結構がんばれるのね。 まさか、Yahooの顧客管理システムそのものがAccessで動いているわけないですよね でも、Excelって最大65535行じゃなかったっけ? |
|
投稿日時: 2004-02-25 16:56
maruさんこんにちは。
文面から推測すると、エクセルのデータは、メール送られた104件分だと思います。 印刷されたものはデータ形式がわからないと思うので、ACCESSのデータは DVDの中身のことだと思ったんですがどうでしょうか。 |