水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > サンシャイン牧場のRekoo日本法人設立で、情報漏洩の件の話

サンシャイン牧場のRekoo日本法人設立で、情報漏洩の件の話

2009年11月16日(月曜日)

サンシャイン牧場のRekoo日本法人設立で、情報漏洩の件の話

公開: 2009年11月17日14時0分頃

サンシャイン牧場の件。先日、サンシャイン牧場のRekooが日本法人を設立したというニュースが出ていましたが、その会見の中で情報漏洩の件についても触れられていたようで。

なお、サンシャイン牧場のシステム不具合で、2009年10月21日から23日の3日間にクレジットカードでアイテムを購入した約4000人の利用者の電話番号とメールアドレスが閲覧可能な状態になっていたとの報道があった件に関して、小野氏は「ご迷惑、ご心配をおかけたことを申し訳なく思っている。ただ、一部報道にあったようにリストとして4000人分の情報を取り出せる状況にあったということではなく、事実としては他人のIDをたまたま知ることができた場合に、不正にアクセスして情報が取れたかもしれないという状況だった。今後はこうしたことのないようにしていきたい」と述べた。

以上、ITproの「SNSネイティブが世界を変える」---mixi最大のゲーム「サン牧」仕掛け人たちが明かす急成長の理由 より

会員情報の件は、課金システムのドラブルがあった期間中に、課金サービスを利用したユーザー約4200人の情報が他人に閲覧される可能性があったとのこと。「外部サイトへ飛ぶときに表示されるURLに他人のIDを加えれば、当該ユーザーの情報を閲覧できるようになっていた」。

小野氏は、「ユーザーにご心配をおかけしたことを申し訳なく思っています」とした上で、「誤解されがちだが、約4200人の情報が一気に引き出されるような状態ではなく、問題のあった期間中に課金したユーザーのIDを入手できたとして、それを悪用したら当該ユーザーの情報を閲覧できる可能性があった。今後、そのようなことがないように注意していく」と説明した。

以上、INTERNET Watchの「サンシャイン牧場」のRekoo日本法人設立、街版や深海版も予定 より

同じ話のはずなのですが、ITproとInternet Watchとでだいぶニュアンスが違うのが面白いですね。

ITpro側には「他人のIDをたまたま知ることができた場合に」とありますが、Internet Watchの方を読むと、このIDが「ユーザーのID」であることが分かります (セッションIDではない)。これを「たまたま知る」のがどのくらい難しいのか、という点が一つのポイントではないかと思います。

たとえば、Rekoo自身がmixiのアカウントを持っているわけですが、そのRekooさんのページは以下のようなURLで見られます (要mixiログイン)。

http://mixi.jp/show_friend.pl?id=24428176

この末尾の"24428176"がRekooさんのユーザーIDです。

つまり、そのユーザーのページに到達できれば、それだけでIDを知ることが可能です。なお、mixiのコミュニティにはメンバー一覧を表示する機能があり、サンシャイン牧場の公式コミュニティも例外ではありません。他人のIDを知りたいという明確な意図を持って「たまたま知る」のは、さほど難しくないことであるように思います。

※ついでにいうと、IDは単なる数字の連番ですから総当たりも可能です。もっとも、そんな派手なアクセスがあったらログからすぐに分かるでしょうが。

「他人のIDをたまたま知ることができた場合に」……などと表現されると、それだけでなんとなく「IDを知る手段が限られていた」というような印象を受けますね。ITproの記事は、スピンとしてはなかなかうまい感じになったのではないでしょうか。

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ / 情報セキュリティ早期警戒パートナーシップ / スピンドクター

最近の日記

関わった本など