• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ITpro Security

Webアプリケーションをセキュアに(第2回)

そのWebアプリケーションが危ない
実際の事件から対策の重要性を知る

徳丸浩 2005/07/11 日経SYSTEMS
出典:2004年2月号152ページ
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

事件簿2 ログから個人情報が漏洩

図2●外部から参照可能なログ・ファイルに個人情報を記録していた

 次は,人材派遣会社B社の例である。B社のホームページでは,ユーザーからの問い合わせを受け付けるHTMLフォーム*6を用意している。ユーザーが入力した内容は,必要な情報が入力されていることをCGIプログラム*7で確認した上で,B社の担当者にメールで送信するようにしていた。入力項目には氏名や年齢のほか,最終学歴や現在の年収などの個人情報が含まれている。これらはクライアントのIPアドレスや実行時刻などとともに,ログ・ファイルにすべて記録する仕組みになっていた。

 問題となったのは,このログ・ファイルの設置場所である。CGIプログラムと同じディレクトリに保存するようにしていた。すなわち,Webブラウザを使って誰でもインターネット経由でアクセスできる場所に個人情報が放置されていたのだ(図2[拡大表示])。このログ・ファイルの存在は,検索サイトに登録されたことがきっかけとなり,匿名掲示板にも投稿され,広く世間の知るところとなってしまった。

 B社では記者会見を開いて事態をわびるとともに,CGIプログラムを修正してログ・ファイルを外部から参照できない場所に保存することで対処した。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る