2010年5月25日(火曜日)
エンジャパンから情報の漏洩?
公開: 2010年6月4日12時10分頃
エンジャパンの関連サイトから個人情報が流出したという話が出ているようで。
- エン・ジャパン情報流出を謝罪 新卒採用システムが丸見え (www.j-cast.com)
- 個人情報漏洩に関する報道についてのお知らせ (employment.en-japan.com)
正確には、提携先の「EmPro-Aid First」というサービスからの漏洩のようですね。
このたび流出が確認されたのは、弊社がウィルソン・ラーニング ワールドワイド株式会社との業務提携により、販売代理店として取扱っている採用管理システム「EmPro-Aid First」を利用して、新卒採用活動を行っている企業に応募された 9名の方に関する情報です。情報の流出原因は特定できていますので、現在、セキュリティー強化に向けての対策を講じています。
以上、個人情報漏洩に関する報道についてのお知らせ より
そのウィルソン・ラーニング ワールドワイドからは、「情報漏洩に関するお知らせおよび今後の対策について」というPDF文書が公開されていて、漏洩の原因は以下のように報告されています。
2. 原因
EmPro は、学生一人ひとりを識別できるように個別URLを作成し、学生に対する利便性を高めるたに、個別URLからの自動ログイン機能を実装しておりました。文字列の変更により個別URLが容易に類推できる状況ではなかったことから、こ れまで情報漏洩は起こっておりませんでした。今回発生した情報漏洩に関して調査をしましたところ、以下の原因が判明しました。
1.登録学生による個別URLの意図的もしくは不注意による公開
2.検索エンジンによる個別URLのクローリング
個別URLは登録学生にのみ送信する設計となっておりますが、上記1または2の手段で入手した他人の個別URLを掲示板サイトユーザーが本人の許可なく掲示板サイトに掲載したことにより一部個人情報がインターネット上に公開されておりました。
以上、情報漏洩に関するお知らせおよび今後の対策について より
どうも、認証をすっ飛ばしていきなりログイン後画面にアクセスできる秘密のURLが存在していたようです。そのURLが意図的に、もしくは不注意によって公開されてしまったことが漏洩の原因のようで。
調べてみると、2chの就職関連の掲示板で、企業から来たメールの内容を貼った人がいたようですね。貼られたのはこんな感じの内容でした。
王将の会社説明会を開催いたします!
席に限りがありますので、お早めにお申込ください。
●「王将フードサービス 会社説明会」
多くの大手企業が赤字に苦しむ中、業績好調な王将フードサービスの強みを採用担当がお伝えします。
*~~*~~*~~*~~*~~*~~*~~*~~*~~*~~*~~*~~*~~*~~*
▼セミナーのお申込はこちら
https://eform.jp/u/?p=59682f9cwbebe808xc5352b2y37
セミナーでお会いできることを採用担当一同、楽しみにしています。
この、「セミナーのお申込はこちら」というURLが、問題の秘密のURLです。当時は、このURLにアクセスするといきなりログイン後画面に行けてしまったようで。
……しかし、このメールの書き方では、このURLを公開するとマズイという気配は感じられませんね。「意図的もしくは不注意による公開」と言っていますが、そもそも、このURLを公開してはならないということが伝わっていない (伝えようともしていない) のではないでしょうか。だとすれば、学生の責任を問うのは筋違いでしょう。
「検索エンジンによる個別URLのクローリング」というのも的を外した話で、そもそも、このURLが2chに貼られた時点でまず人間がアクセスしているわけです。それを防がなければ駄目でしょう。
ともあれ、以下のような対策が挙げられています。
・EmPro 利用時における個人認証チェックの導入
仕様の変更後は、EmPro 利用時に、学生個人別に発行したID・パスワードを活用してログインする形式にいたします。
以上、情報漏洩に関するお知らせおよび今後の対策について より
要するに、URLが叩かれたら認証するということですね。それが普通だと思います。妥当な対策だと思いますが……対策がこれで良いのだとすると、原因は「認証していなかった」という一言で済むと思うのですけどね。
- 「エンジャパンから情報の漏洩?」にコメントを書く
- 前(古い): 2010年5月24日(Monday)のえび日記
- 次(新しい): 2010年5月26日(Wednesday)のえび日記
