水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 丸見え系

丸見え系

2004年11月16日(火曜日)

丸見え系

NTT西の顧客情報7千人分、ネットで一時閲覧可能に (www.asahi.com.)」ということでしたが、「お客様の情報が外部から閲覧できる状況にあった事象について (www.ntt-west.co.jp)」という文書が出たようですね。

アンケート集計・閲覧用アドレスには関係者しか知らない非公開のアドレスを付与していたものの、何らかの理由で部外者がアドレスを知り11月12日17時30分頃からフリーメールでアドレスが広まった可能性があると考えています。

当たり前ですが、「関係者しか知らない非公開のアドレス」だから見られないはずだ、などという考え方をすること自体がもう致命的に駄目なわけです。普通 URL は秘密情報とは認識されませんから関係者があっさり漏らす可能性もありますし、予測されたり Referer から漏れたりすることもあります。酷い場合は hidden にズバリ書いてあったり、ディレクトリインデックスで一網打尽だったりするわけです。

そんなわけで「何らかの理由」はもう無数に想像できますが、アンケート対象者の一人が「気づいちゃった」というのがいちばんありそうですね。アンケートに回答する前に、そのアンケートが脆弱でないかどうか確認するというのは、消費者として正しい行動でしょうし。

……それはそれとして、一番考えさせられるのは、これをひっそりと届け出ていたら何が起きていたのかということです。メールで広めないで然るべき所に届け出ようよ……とは思うわけですが、そうしていた場合、果たしてこのように報道・報告されたのかなと。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト