丸見え系
2004年11月16日(火曜日)
丸見え系
「NTT西の顧客情報7千人分、ネットで一時閲覧可能に (www.asahi.com.)」ということでしたが、「お客様の情報が外部から閲覧できる状況にあった事象について (www.ntt-west.co.jp)」という文書が出たようですね。
アンケート集計・閲覧用アドレスには関係者しか知らない非公開のアドレスを付与していたものの、何らかの理由で部外者がアドレスを知り11月12日17時30分頃からフリーメールでアドレスが広まった可能性があると考えています。
当たり前ですが、「関係者しか知らない非公開のアドレス」だから見られないはずだ、などという考え方をすること自体がもう致命的に駄目なわけです。普通 URL は秘密情報とは認識されませんから関係者があっさり漏らす可能性もありますし、予測されたり Referer から漏れたりすることもあります。酷い場合は hidden にズバリ書いてあったり、ディレクトリインデックスで一網打尽だったりするわけです。
そんなわけで「何らかの理由」はもう無数に想像できますが、アンケート対象者の一人が「気づいちゃった」というのがいちばんありそうですね。アンケートに回答する前に、そのアンケートが脆弱でないかどうか確認するというのは、消費者として正しい行動でしょうし。
……それはそれとして、一番考えさせられるのは、これをひっそりと届け出ていたら何が起きていたのかということです。メールで広めないで然るべき所に届け出ようよ……とは思うわけですが、そうしていた場合、果たしてこのように報道・報告されたのかなと。
- 「丸見え系」にコメントを書く
関連する話題: セキュリティ
- 前(古い): 高木さん復活
- 次(新しい): ウィルス警告 spam からメールアドレスなどの情報が漏洩する
