水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > サンシャイン牧場・Rekooからのアナウンスに追記

サンシャイン牧場・Rekooからのアナウンスに追記

2009年11月5日(木曜日)

サンシャイン牧場・Rekooからのアナウンスに追記

公開: 2009年11月5日14時10分頃

サンシャイン牧場の件、mixiからのお知らせに追記があり、既に出ているRekooからのアナウンスに追記がある旨書かれています。Rekooのアナウンスに追記された内容は以下のとおりです。

****************** 〔追記〕 ******************

サンシャイン牧場におけるトラブルにつきまして、 一部のユーザー様からお問い合わせを頂いているため、改めて下記ご説明を追加 させて頂きます。

■「第三者より情報が取得可能な状況」について

「ユーザー様のメールアドレス・電話番号が第三者より取得可能な状況」は、当社が当初用いていた課金サービスの脆弱性をついて、第三者のIDを許可なく利用して能動的に不正アクセスした場合にのみ取得可能であり、通常だれもが情報を取得できるような状況ではございませんでした。

■「不正アクセスによって取得可能な状態にあった情報」について

上記の状態において、不正アクセスにより取得可能であった情報は、サンシャイン牧場の課金サービスを利用したユーザーが入力した「メールアドレス」および「電話番号」になり、クレジットカード情報等その他の情報は含まれておりません。

またこれらの情報は、当社が独自にユーザーより決済サービス時の連絡用として取得したものでありミクシィ社より提供をうけたものではございません。

※本課金サービスにおいて、決済代行会社の課金システムを利用しておりますが、本不具合に関しましては、決済代行会社の課金システムに問題はございません。

以上、[mixi] 「サンシャイン牧場」Rekoo | 課金サービス開始時の不具合について より

各紙報道では「本人と偽ってプログラムを操作」、「プログラマーなど特殊な知識を持った人」とパワーアップしてきていて、これはきっとRekoo側がそう言っているのだろうと想像していました。Rekoo自身の説明では、「課金サービスの脆弱性をついて、第三者のIDを許可なく利用して能動的に不正アクセス」となりましたね。

「誰でも取得できたわけではなかった」と印象づけて利用者を安心させたいという気持ちは分からないでもないのですが、あんまり意味がないと思うのですよね。利用者の関心事は、あくまで「漏れたかどうか」でしょう。たとえ情報の取得が簡単であっても、「ログを調査した結果、漏れていないことが判明」と言われればひとまず安心でしょうし、その逆もしかりです。情報の取得が難しかったかどうか、専門知識が必要だったかどうか、などということをいくら印象づけても、利用者の不安の解消にはつながらないと思うのですね。

とはいえ今回の場合、ログを調査して漏洩の有無を確認することも困難でしょう。派手に大量アクセスして舐めていった人がいれば分かりますが、そうでない場合、ログを見ても漏洩の有無を判断できない可能性が高いと思います。なかなか難しいところですね。

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングDreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト