エステティック・サロンTBCを運営するコミー,全日空やYKKの子会社などのWebサイトで,相次いで個人情報が漏えいした。氏名や電話番号,メール・アドレスなどが含まれていた。主な原因は,アンケートなどを収集するWebアプリケーションの作りに,単純なセキュリティ上のミスがあったこと。個人情報を保存したファイル名をブラウザで指定するだけで,誰でもファイルを閲覧することができた。サイトに単純なミスがないかどうかを,改めて点検する必要がある。

(安東 一真=andoh@nikkeibp.co.jp)

 「当社のセキュリティ対策が甘かったために,ユーザーに多大な迷惑をかけてしまった。深くおわびしたい」(エステティック・サロンTBCを運営するコミーのクレジット開発部部長の宮川 義広氏)――。

表1●2002年5月に明らかになった主な情報漏えい事件

 エステティック・サロンTBCのサイトでは5月26日,サイトで実施したアンケート・データや,資料請求のための入力データなど約5万人分が外部から閲覧できる状態になっていたことが明らかになった。なかには,女性のスリー・サイズといったプライバシ情報も含まれていた。TBCを運営するコミーでは,おわびのメールや郵便をユーザーに送ったり,電話の問い合わせを受け付けるホットラインを設置したり,5月28日の全国紙におわびの文章を掲載したりするなど,対策に追われた。

 このように,Webサイトから個人情報が漏えいする事件が,5月中旬から相次いで発生した(表1[拡大表示],写真1[拡大表示])。例えば建材メーカーのYKKアーキテクチュラルプロダクツでは,住宅に関するアンケート・データ約3万8000人分,旅行会社の全日空ワールドでは,ツアーのパンフレット請求のための入力データ約1500人分が漏れた。どれも氏名や住所,電話番号,メール・アドレスといった個人情報が含まれていた。

写真1●情報漏えいに対する「おわび」のページ

単純ミスでファイルが閲覧可能に

 情報が漏えいした原因は,どれもセキュリティ対策上の単純なミスだった。まず,アンケートなどをWebで収集するアプリケーションの作りに問題があった。収集したデータを,Webサーバーの公開ディレクトリ内のファイルに保存していた。さらに,そのファイルに対してアクセス制限をかけていなかったため,URLとしてそのファイル名を指定すれば,ブラウザから誰でも閲覧できる状態になっていた。

 コミーとYKKアーキテクチュラルプロダクツは,こうした問題があることに気付かないまま,Webアプリケーションの運用を続けていた。全日空ワールドの場合は,パンフレット請求用のWebアプリケーションを2001年7~10月にリニューアルしたが,それ以前のWebアプリケーションに問題があった。ユーザーの入力データを保存するファイルが,外部から閲覧可能になっていた。人手による運用ミスも重なった。処理したファイルは担当者がその都度消去する運用になっていたが,一部のファイルを消し忘れており,リニューアル後も気付かずに放置していた。

 日本テレビエンタープライズは,Webホスティング・サービスを利用していたが,その運営事業者が変わったことが原因で情報が漏えいしたとみられる。日本テレビエンタープライズは旧東京インターネットのWebホスティング・サービスを利用していた。ところが東京インターネットがピーエスアイネットとケーブル・アンド・ワイヤレスIDCに相次いで買収された過程で,ホスティング・サービスの契約内容が変わっていた。「従来はISPがセキュリティを設定してくれていたのが,ユーザーの責任に変わっていた」(総務部の井草 稔氏)。そこでサーバー・マシンの移行時などに,従来はアクセスを禁止していたファイルが外部から閲覧可能になったとみられる。古くから利用しているWebアプリケーションには,特に注意が必要のようだ。

ネットの掲示板で暴露が流行

 2002年5月から相次いでこうした事件が公になったのは理由がある。インターネット上の掲示板において,セキュリティ対策の甘いサイトを暴露することが流行になったからだ。掲示板の参加者がおもしろがって,個人情報が閲覧できるサイトを探し出し,相次いで書き込むようになった。

 外部から閲覧できるファイルを探すのは,手間をかければ難しいことではない。Webアプリケーションでファイルを保存する場合,“/cgi-bin/”や“/cgi/”というディレクトリを使う場合が多い。いろいろなサイトでこうしたディレクトリを調べてみて,閲覧可能なファイルを探すのだ。このほか検索エンジンなどを利用して,個人情報ファイルが探し出されたとみられる。

 個人情報が見えることを掲示板に書き込むことは,倫理上は良くないことだが,「書き込んだことだけで犯罪として追求することは難しい」(警察庁生活安全局生活安全企画課セキュリティシステム対策室長警視長の坂 明氏)のが実情。今後も,似たようなセキュリティ上の“穴”が話題になれば,相次いで暴露される危険性がある。もっとも,こうした掲示板の多くの参加者が見つけられるのは,単純な“穴”だけ。Webサイト運営者は,単純な“穴”をふさげば対抗できるのだ。

 今回のWebサイトの“穴”は,まさに単純なものである。Webアプリケーションのデータ・ファイルを,サイトの公開ディレクトリには置かないという鉄則を守っていれば回避することができる。

 どうしてもWebのディレクトリにファイルを置く必要があるなら,ディレクトリに対してアクセス制限をかけておく。さらにURLでディレクトリを指定されたときに,ファイルをWebページで一覧する機能を無効にしておく。そうすれば,検索エンジンでファイルを発見される危険性が低くなる。