現在地 HOME > 掲示板
> IT4 > 917.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT4 > 917.html
★阿修羅♪
|
|
| Tweet |
(回答先: ネット界も困惑? ACCS不正アクセス事件【毎日新聞】もしこれで脆弱性を指摘する行為が減るなら本末転倒である 投稿者 クエスチョン 日時 2004 年 2 月 06 日 21:13:48)
資料【ASKACCSユーザーの皆様へ】、【声明 officeこと、河合一穂の逮捕にあたって】
====================================================
ASKACCSユーザーの皆様へ
(2004.1.22)
====================================================
http://www.askaccs.ne.jp/houkoku3.html
ASKACCSのセキュリティ問題におきましては、ユーザーの皆様に多大な不安とご心配をおかけ致しまして大変もうしわけございません。
ACCSでは、今回の事件の事実関係と問題点を整理し、ASKACCSの復旧にむけて今後の体制作りについて検討するため、法律家、セキュリティ関係者などによる「事故調査委員会」を12月初旬に設置しました。このたび、事故調査委員会から報告書を頂戴しましたので、ここに公表いたします。ACCSでは本報告書を真摯に受け止め、今後の体制作りに役立てていきたいと考えております。
「ACCS運営ホームページのセキュリティ問題について・続報」(12月26日)
「ACCS運営ホームページのセキュリティ問題について」(11月11日)
====================================================
調査報告書
====================================================
平成16年1月22日
ASKACCS個人情報流出事故調査委員会
委員長 中川達也(弁護士)
委員 若梅裕子(中央大学研究開発機構専任研究員)
委員 萩原栄幸(情報セキュリティアナリスト)
委員 山田節雄(株式会社カプコン)
コンピュータソフトウェア著作権協会( 以下「ACCS」という)が運営するホームページ「著作権・プライバシー相談室 ASKACCS」(以下「ASKACCS」という)に相談をよせた相談者の個人情報等が、ASKACCSのサーバーからインターネットを通じて入手可能な状態に置かれていた問題(以下「本件」という)について、当事故調査委員会は、ACCSより、本件の事実関係及び原因等についての調査を委嘱され、調査を行ってきた。その調査結果の要旨は次のとおりである。
本件の概要
1 本件が発覚した経緯等
平成15年11月8日、ある方(以下「情報提供者」という)からACCSに、「ASKACCSのホームページ上から個人情報を入手できる」とメールが発信され、翌9日昼頃、ACCS側が受信した。そこでACCS側で確認したところ、ASKACCS で使用されていたCGIプログラムに、セキュリティの脆弱な部分が存在しており、それを意図的に攻撃することにより、ASKACCSに質問を寄せた約1200人の送信日時・氏名・住所・電話番号・年齢・メールアドレス・相談内容等(以下「個人情報」という)を入手できる状態にあったことを確認された。そのため、ACCSは直ちに当該CGIプログラムの使用を中止し、ASKACCSのサイトを閉鎖した。
ACCSは直ちに記者会見を開いて本件を対外的に公表して謝罪するとともに、ACCSのホームページ上で、本件の経緯を随時報告した。また、過去にASKACCSに相談を寄せられた方に対して、電子メールにより本件の説明と謝罪を行うとともに、後述の4名の方については、個別に連絡を取り、説明と謝罪を行っているが、現時点においては、連絡がつかない方が1名存在している。
なお、ACCSの運営する他のホームページは、当該CGIプログラムを利用してはいなかったため、個人情報が流出した事実は認められなかった。
2 個人情報が流出した範囲・程度について
ASKACCSから個人情報が流出した範囲・程度について、現時点までに、以下の事実を確認することができた。
・ASKACCSのサーバーに記録が残っていた平成15年10月6日以降のアクセスログを解析した結果、合計4回、外部から相談者の個人情報にアクセスされた形跡が認められた。情報提供者に確認したところ、これら4回のアクセスは、いずれも情報提供者自身によるものとの回答がなされた。なお、アクセスログの情報によれば、これらのアクセスは、いずれも同一の種類の回線、OS、ブラウザを利用したものであるため、同一人物によるアクセスの可能性が高く、情報提供者の回答に合致している。
・上記4回以外に、外部から個人情報を取得されたことを示すアクセスログは認められなかった。
・平成15年10月6日以前のアクセスログは保存されていなかったため、それ以前の調査は不可能であった。それ以前に、同様の手口により個人情報が取得されていた可能性は否定できないが、それを裏付ける事実は一切確認できなかった。
・情報提供者は、平成15年11月8日夕方、ACCSに対してASKACCSのホームページから個人情報が取得できることをメールで通知しているが、それに先立ち、同日開催されたセキュリティに関するイベントにおいて、ASKACCSのサイトから個人情報の入手が可能であったことを発表した。その際に、情報提供者が作成したレジュメをスクリーンに上映したが、そのレジュメには、情報提供者が入手した個人情報のサンプルとして、相談者4名の実際の個人情報が記載されていた(これら4名以外の個人情報は一切記載されていない。)。
・このレジュメは、紙として参加者に配布されたことはないが、レジュメの電子ファイルが、イベント開催中、参加者に限って会場内の無線LANを通じてダウンロード可能な状態にあった。そのため、これらのファイルが、イベント参加者によってダウンロードされた可能性があるが、実際にダウンロードされた回数は確認できなかった。
・某インターネットサイトに、上記レジュメの内容を把握している旨の記載が認められた。ACCSから開設者に連絡したところ、上記イベントの参加者に教えてもらったとの回答であったため、ACCSから当該開設者を通じて、当該レジュメファイルの保有者に削除を要請し、削除した旨の回答を得た。
・情報提供者は、ACCSを訪問して謝罪するとともに、ACCSに対して、上記イベント以外に、取得した個人情報を第三者に提供した事実は一切なく、また、取得した個人情報等のデータは、自身が保有する全てのPCから削除したと確約した。また、情報提供者が自ら開設しているホームページ(*)にも、謝罪文とともに、取得した個人情報は全て削除した旨が掲載されている。
(*)現在、謝罪文の閲覧はできません(ACCS注釈)。
・ACCSは、本件発覚以降、継続的に、各種ファイル交換ソフトを含むインターネット上の監視を行っているが、ASKACCSから流出したと思われる個人情報は、上記レジュメファイルを含め、一切発見されていない。
・その他、上記した以外に個人情報が流通している事実は、現時点では認められなかった。
3 小括
ASKACCSへの相談者のうち、4名の個人情報が記載されたレジュメが、情報提供者が参加したセキュリティイベントにおいて上映された。また、そのレジュメの電子ファイルが、イベント参加者にダウンロードされた可能性が高いが、その数は不明である。
これら4名以外の個人情報については、理論的には、平成15年10月6日以前に、同様の手法により第三者により取得されている可能性が否定できないが、そのような事実は具体的には確認されていない。
現時点において、ASKACCSから流出したと思われる個人情報がインターネット等で流通している事実は一切確認されていない。
本件の原因
1 技術的な原因について
技術的な原因は、以下のとおり、ASKACCSにおいて、セキュリティの脆弱性が認められるCGIプログラムを使用していたことにある。
すなわち、ASKACCSは、レンタルサーバー会社のサーバーで運営されており、ASKACCS上の質問フォームで入力された情報は、担当者に送信されるとともに、テキストファイル形式でサーバーに保存される仕組みになっていた。そして、この保存のために、ASKACCSの開設時に、レンタルサーバー会社から契約者に当時提供されていた標準CGIプログラムを利用していた。
しかし、このCGIプログラムには、ある特別な操作をする事で、質問フォームで入力された情報をダウンロードできてしまうという脆弱性が存在していた。そのため、この操作を行うことにより、ASKACCS上の質問フォームで入力された情報を取得することが可能となってしまっていた。
なお、調査委員会は、この脆弱性の内容についてはより詳細に事実を確認しているが、その内容をここで明らかにすると、他のホームページで同様の被害が生じるおそれがあるため、ここではこれ以上詳細には示さないこととした。
2 本質的な原因について
上記のとおり、本件の技術的な原因は、当該CGIプログラムに脆弱性があった点にあるが、本質的には、次のような問題があると判断した。
(1) ACCSは、ASKACCSのホームページについて、セキュリティチェック等の充分な検証を実施していなかった。また、当該CGIプログラムを採用するに際しても、特にセキュリティ上の検証を行っていなかった。
ASKACCSは広く個人情報を収集・取得していたのであるから、そのセキュリティについては細心の注意を払うことが求められていたというべきである。第三者が作成したソフトウェアを利用する場合には、その選定に際して細心の注意を払う必要があると考えるし、採用した後においても、セキュリティ上の問題がないか否かを、継続的に自らの責任で検証する必要があると考える。さらに、ACCSは、これまで情報の取り扱いに関する啓発活動を自ら行ってきていることからすれば、自ら運営するホームページのセキュリティについては、通常の企業等以上に、充分なスキル、体制で臨む必要があると考える。
しかし、ACCSは、レンタルサーバー会社の提供するCGIプログラムを採用する際に、セキュリティ上の検証について入念な検査をしたとは認められなかった。
(2) ASKACCSは、必要と認められる以上の個人情報を入力させていたと考えられる。
ASKACCSは、不特定の第三者から広く質問を受け付け、それに回答することを目的としていた以上、回答を送付するために必要な最低限の個人情報(メールアドレス等)の入力を求めることはやむを得ないと考える。
しかし、ASKACCSの質問フォームでは、さらに住所・氏名等の個人情報の入力まで要求していたところ、このような情報まで必要であったとは認めがたい。
個人情報を扱う際には、その管理に万全を尽くすことはもちろんであるが、それと同時に、そもそも不必要な個人情報は取得しないことも求められているというべきである。
3 小括
本件の技術的な原因は、ASKACCS で採用していたCGIプログラムの脆弱性にあるが、本質的には、(1)ACCSが、当該CGIプログラムの採用にあたって、十分なセキュリティ等のチェックを行っていなかったこと、(2)必要以上に個人情報を取得したことが原因である。
ACCSに対する提言
1 本件により流出した個人情報等がインターネット等で流通していないか、引き続き入念に監視していくべきである。万一そのような事態を発見した場合には、直ちに厳格な対応を取ることが求められると考える。
2 今後のホームページの運営に際しては、情報の取り扱いに関する啓発活動を行ってきたACCSの社会的責任を再度自覚し、セキュリティ対策に十分に配慮した対策を実施すべきである。
具体的には、ACCS内部におけるセキュリティ体制の強化、外部の第三者によるホームページのセキュリティチェック等の実施、ホームページの製作・運営等を外部に委託する際の基準の策定、委託先の再検討、取得すべき個人情報の再検討などを行うべきである。
以 上
====================================================
本件についてのお問い合わせ:
(社)コンピュータソフトウェア著作権協会(ACCS)
セキュリティ問題担当 TEL03-5976-5175 FAX03-5976-5177
「ACCS運営ホームページのセキュリティ問題について・続報」(12月26日)
「ACCS運営ホームページのセキュリティ問題について」(11月11日)
********************************************************************************
声明 officeこと、河合一穂の逮捕にあたって
http://www.josephandleon.co.jp/seimei.html
2004年2月4日
有限会社ヨセフアンドレオン
代表取締役 中川文人
●本日、警視庁より「officeこと、河合一穂を逮捕した」との報告を受けました。
河合一穂は、当社がコンテンツ制作及び運営を行っている「ASKACCS 著作権・プライバシー相談室」に寄せられたユーザの個人情報を不正な方法で入手し、それをイベントという不特定多数の人間の集まる場で公開し、さらにその情報をネット上に放置して流出、拡散を招いた人物です。また、この間、ユーザの個人情報を盾に、われわれを脅迫した人物でもあります。
われわれは河合一穂をこのように見ておりますので、捜査当局が逮捕に踏み切ったのは当然のことと受け止めております。
●本日、河合の身柄が拘束されたことで、河合の手から個人情報が流出する可能性は小さくなりましたが、個人情報の安全が完全に保障されたというわけではありません。われわれは今後とも個人情報の保全を第一の課題とし、情報の流出、拡散の防止に努めてまいります。また、捜査当局に対しては事件の全容解明とともに、河合一穂の入手した個人情報が流出、拡散しないよう、その保全を強く求めるものです。
●また、当社といたしましては、今回の事件の犯人がセキュリティの専門家を自任する人物で、その犯行の現場がセキュリティ関係者によるイベントだったという事実を重く受け止めています。
現在、ASKACCSの再開に向けた作業を進めていますが、 セキュリティの専門家やセキュリティ技術に依存しないセキュリティのあり方、セキュリティに依存しない情報社会のあり方を模索していかなければならないと考えております。
●また、現在、一部マスコミの間で河合一穂と河合隼雄文化庁長官の関係が取り立たされておりますが、河合一穂と長官の関係については事件発生の直後より承知しておりました。これまで特にその件を問題にしてこなかったのは、40歳を過ぎた人間のしたことを「おじさんのせいにする」「おじさんに言いつける」というのは適当ではないと判断したからで、政府から圧力があったわけではありません。
●本日の河合の逮捕によって事件は大きな進展を見たといえますが、当社の運営上の瑕疵が今回の事件の一因であることに変わりはありません。ASKACCSに情報を寄せられたユーザのみなさま、及びACCSのみなさまには重ねてお詫び申し上げます。
●なお、今回の事件に関して「河合やAD200Xとの交渉の経過も含めてジャーナリストとして明らかにせよ」との声を多数頂戴しております。この件につきましては、ユーザの個人情報の安全が確認されてからとしてきましたが、同様の事件の再発防止につながると思われる事実に関しては、今後、一つひとつ明らかにしていく所存であります。
以 上
「ASKACCS 著作権・プライバシー相談室」へ
トップへ戻る
題名には必ず「阿修羅さんへ」と記述してください。