個人情報流出 CASE 2:
不正アクセスによる流出

 オンラインショッピングができるWebサイトでは、購入申し込みをした人全員のデータベースを作成していることがある。また、インターネットプロバイダーでは会員名簿をコンピュータに保管している。こうしたデータは通常の方法ではアクセスできないように、さまざまなセキュリティの仕組みを作っているのだが、Webサイトによっては外部からの不正侵入を許してしまうような「穴」が空いているところがある。
 これをセキュリティホールと言うのだが、この穴を利用してコンピュータに不正に侵入し、個人情報を盗み出すという『ハッカー行為』による犯罪はインターネットが普及する以前から後を絶たない。このようなことができるのは、ある程度の技術的知識のある人間に限られるハズなのだが、盛大に『穴』が空いていたりすると誰でも不正侵入できてしまうケースもある。
 こうして盗み出された情報はときとしてアンダーグラウンド系のホームページに堂々と公開されてしまうことがある。97年に発生した東京のインターネットプロバイダーの会員名簿が不正アクセスによって盗まれるという事件では、盗んだ会員名簿にあるIDやパスワード、氏名、住所などが別のWebサイトに公開されていたことで、事件が明るみとなった。また、2000年3月にはSONYプレイステーション2やソフトウェアの通信販売を行なう「Playstation.com」サイトが不正アクセスを受け、商品を予約した266人分の顧客リストの氏名、住所などが流出するという事件が発生した。
 このような不正アクセスによる個人情報の流出事件はそれほど多いものではないし、全国規模の大手プロバイダーや中堅プロバイダー、市場調査会社やコマースサイトなどに不正侵入されてニュースとして報道される例は極めて少ない。しかし、だからといって不正侵入のケースそのものが少ないとは言えないだろう。この手の犯罪は、高度な技術を持った人間の手にかかれば、完全犯罪も決して夢ではない。つまり、盗まれたことが誰にも気づかれないというケースも相当あるはずだ。

[対策] ユーザーの対処方法はない

 残念なことに、ユーザー側が対策を講じることはできない。このケースで恐ろしいことは、主催者が不正侵入されたことに全く気が付いていないというものがあることだ。誰も知らないうちに個人情報が漏れているというケースでは、もはやユーザーは何の対策も講じられない。せめて、できるだけ個人情報をサイトに提供しないよう、日頃から心がけるしかない。

<参考資料>
Playstation.comに登録しているユーザーに送信された 不正アクセスに関するメール

お客様情報への不正アクセスの件

 3月1日 17時頃に、当社のウエブサイト上で問題の存在を認識し、日本 アイ・ビー・エム社の施設内のサーバーにおいて、他人の受注番号を使用し ての不正なアクセスがなされた痕跡を確認いたしました。

 当社では、日本アイ・ビー・エム株式会社と協力し、17時22分にこの 方法によるアクセスを防ぐ措置をとり、既に不正アクセスは防止されており ます。その後、直ちに合同の対策本部を設置し、共同で不正にアクセスされ たお客様のデータおよび不正アクセス者の特定およびシステム全体のセキュ リティの再検証を指示しました。

 まず、20時にアクセスログ収集のための解析プログラムの作成を開始し、 3月2日午前0時から、2月18日のサイトオープンから3月1日に到る全 アクセスログの収集および不正アクセスログの洗い出しを開始しました。本 作業は5時に完了し、その結果不正アクセスの対象となったお客様の総数と 不正アクセス者の総数の絞りこみが完了しました。その後引き続き不正アク セスログから不正アクセスユーザーの洗い出しに着手しました。

 一方、システム全体のセキュリティの再検証に関しては、3月2日 午前 3時に日米専門検証チームによるインフラおよびアプリケーションに到る全 システムのハッキングコンサルティングを開始し、セキュリティホールの総 点検を実施、8時30分に検証を終了しました。更に別途アプリケーション ソフトのロジック解析を実施し、論理検証が6時30分に終了しました。こ こで、今回の問題が、お届先データを取り扱うアプリケーションの不備によ るセキュリティホールであることが確認されました。

 その後、15時に不正アクセスされたお客様および不正アクセス者の特定 作業を終了し、不正アクセスの可能性があるお客様への事実の通知とお詫び のご連絡をしております。
また、不正アクセス者への対応の検討も開始しています。

 ご迷惑をお掛けいたしましたお客様には、深くお詫び申し上げます。  今後は、一層のセキュリティ強化に向けて努力を続けてまいりますので、 プレイステーション・ドットコム・ジャパンのショッピングサイトを、 よろしくお願い申し上げます。

敬具

※果たして犯人は本当に突き止められたのだろうか?
 そしてどのような対応があったのだろうか?これらは一切公表されていない。