現在地 HOME > 掲示板
> IT4 > 640.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT4 > 640.html
★阿修羅♪
|
|
| Tweet |
「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表【asahi.com記事】
http://www.asahi.com/national/update/0104/003.html
文化庁所管の著作権保護団体のインターネットサイトから利用者約1200人の個人情報が昨年11月、国立大学の男性研究員(40)に引き出され、一部公表されていた。研究員は「インターネットの安全性の脆弱(ぜいじゃく)さに警鐘を鳴らそうとした」と話すが、警視庁は不正アクセス禁止法違反の可能性があるとして情報収集している。研究員は、一般に広く使われているCGIプログラムの「欠陥」を、官庁などのサイトについて公表してきた。今回もその欠陥を突いた形で、CGIの安全対策が問い直されそうだ。
個人情報を引き出されたのは、社団法人コンピュータソフトウェア著作権協会(東京都文京区)。ソフトなどの著作権者の団体で、著作権についての質問などをサイトで受けつけていた。
研究員と協会の説明によると、研究員は11月8日、インターネットから協会サイトのサーバーに、運営側が想定しない指示を送って入った。非公開の領域に保存されたファイルから、サイトへ相談を寄せた約1200人の名前、住所、電話番号、相談内容などの記録を引き出したという。
同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で、参加者約300人に体験を披露。「証拠」として、持ち出した個人情報の一部を公表した。持参したパソコンにこの情報を保存した参加者もいたという。
研究員は集会後、協会と、プログラムを開発したサーバー提供会社にCGIの欠陥を電子メールで指摘した。協会はサイトを閉鎖し、個人情報がネット上に広まるなどの事態にはなっていないという。サーバー提供会社は約2万の顧客を抱えており、同じCGIを使う他のサイトの修正作業を始めたという。
研究員は「警鐘を鳴らそうとしたが、今回は消費者の味方とは言い切れず、反省している」と語る。
協会は「警鐘を鳴らすために個人情報を流出させたのは本末転倒で許し難い」と話す。サーバー提供会社も「欠陥が事前通告なしに公開され、他のサイトまで危険にさらされた」と批判している。警視庁は、研究員の行為が、外部からの利用を制御したサイトへの侵入になる疑いがあるとみている。
研究員は「office」と名乗るハッカーで、01年ごろから専門誌などに、安全対策が進んでいるはずのサイトの「欠陥」を公表してきた。
欠陥があると指摘されたサイトには首相官邸や総務省、日本郵政公社関連の財団法人、大手銀行が含まれる。口座番号などが第三者に送られる危険性もあったと研究員は指摘し、対策をとった官庁、団体もある。
◆ネットの安全性の問題について詳しい独立行政法人・産業技術総合研究所の高木浩光主任研究員の話
CGIの欠陥の有無を外部から確かめようとすると、欠陥の種類によっては不正アクセス禁止法に触れかねないので、具体的な指摘はほとんどされてこなかった。安全なプログラムを作る基礎知識を持たない開発者がCGIを作る場合も多く、欠陥を抱えたサイトが多数放置されている可能性は高い。
《キーワード》CGIプログラム
会員登録、アンケート送付、検索、掲示板、チャット機能を持つサイトで広く使われている基本的なプログラム。利用者がパソコンからインターネットでサイトへ情報を書き込んだり、読み出したりするときに使われる。サーバー内の領域と利用者をつなぐため、これを経由してサーバー内に蓄えられた個人情報などが漏れる可能性があり、対策の必要性が指摘されてきた。
(01/04 03:00)
関連情報
コンピュータソフトウェア著作権協会ウェブサイト : ACCS運営ホームページのセキュリティ問題について
題名には必ず「阿修羅さんへ」と記述してください。