Cyber Academy
ネット通販の落とし穴
ネットオークションの落とし穴
悪質サイトの罠
掲示板トにおけるラブル
個人情報の流出
LANの通信傍受
出会い系サイトのトラブル
個人情報はどうして盗まれる?
アポイントメント商法
オンラインゲームと法律
携帯電話のセキュリティ
オークションIDの窃用
電子商取引における契約成立時期
ネット通販の価格表示ミス
フィッシング詐欺
  個人情報の流出
page2/2

Aデータファイルの管理ミス

データファイルと言うのは、注文フォームなどのCGIが受け取ったデータを保管するファイルのことです。このファイルには、顧客の注文内容や連絡先等の重要なデータが含まれるので、管理者としては外部から覗かれないように注意しているはずなのですが、何らかの理由によってデータファイルのファイル名が知られてしまうと、誰でもブラウザで簡単に閲覧が可能となります。

ファイル名が知られてしまう理由にはいくつかありますが、比較的ありがちなのは無料で配布されているCGIスクリプトを使用している場合です。何故なら、無料で配布しているということは、誰でもそのスクリプトをダウンロードして設置マニュアルを読むことが出来るわけで、それを読めば、データファイルが初期設定では何と言うファイル名になっているのかが分かります。従って、そんな公開型スクリプトを初期設定のまま使用していたのでは、同じスクリプトを使用している者には容易にデータファイルの設置場所を知られしまうと言うことです。それだけにマニュアルにはちゃんと「データファイル名は必ず任意のものに変更して下さい」と書かれています。なのにそのまま使っている管理者が結構いるもので、出会い系掲示板を対象に1時間ほど調べただけでも4件のサイトでデータファイル名が初期設定にままになっていました。

データファイルの名称が初期設定のままだったために、メールアドレスが記載されたデータファイルが閲覧可能だった掲示板サイト(右がdatファイル)


仮に独自のスクリプトであっても油断はなりません。そのデータファイルの名前が送信元CGIのファイル名から容易に連想可能なものだった場合にも危険です。例えばアンケートの送信フォームがunquite.cgiで、そのデータファイルがunquite.datであれば即座にばれてしまいます。

いずれにせよ、こうした初歩的なミスにより自分が保有する顧客情報が漏れてしまった場合には、重過失により損害賠償を請求されかねないので十分注意しましょう。

(対策)
1. データファイルの拡張子は「.dat」や「.csv」ではなく「.cgi」にする。
2. データファイルのファイル名は推測が困難なものにしておく。

3.自分が運営するホームページから不注意により流出する

これについては、第三者が運営する場合と基本的に同じですので前2項を参考にして下さい。

4.不正アクセスにより意図的に持ち出される

これについても、前2項と3項の裏返しと考えてください。大半の事件では管理者の設定ミスや不注意により容易にデータファイルが閲覧可能になっていただけの話であり、意図的にサーバーのセキュリティホールをついて侵入したり、セッション・ハイジャックなどの高度な技術を駆使して情報を盗み出すような事例は極めて稀だと思います(たぶん)。何故ならそういう手口により苦労して盗み出した情報をタダでネット上で公開するなんて考え難く、ひいてはサイト管理者が情報を盗まれたことにすら気づかないからです。 しかし本格的な不正アクセスの対策となると、自社で専用のサーバーを運用している場合はともかく、レンタルサーバーなどでサイトを運用している一介のウェブマスターが取りうる対策には限界があり、不正アクセスにはほとんど手の打ちようがないのが実情です。そういう点で、あまりにも利用料が安いレンタルサーバーなどはセキュリティ対策に最低限の対策さえ講じていないんじゃやないかと思えてなりません。へたなレンタルサーバーを借りるくらいなら、プロバイダのサーバーでホームページを開設した方が安全ですよ。

5.個人情報収集目的のサイトに騙される

魅力的な賞品が多数当選するようなうたい文句の懸賞サイトや、ダイエット商品のモニター応募、アダルトグッズ関係の資料請求など、ネット上で自ら個人情報を送信してしまう機会は無数に存在します。もちろん全てが危険だとは言いませんが、中には最初から個人情報の収集だけを目的にしたダミーサイトが存在する可能性も否定できません。そのようなサイトに個人情報を送ってしまった場合、それが名簿業者へ転売されたり、ダイレクトメールやスパムメールの宛先名簿として悪用される結果となります。中には、性的嗜好や復讐代行など、人には知られたくないような秘密を収集しておいて、後でそのことをネタに口止め料を要求するような悪質なサイトがあることも事実です。万が一そのような恐喝を受けた場合には、決して応じることなく速やかに警察へ被害届を出すようにして下さい。一度でもお金を払ってしまえば、それ以後も繰り返し同様の要求をされるのが目に見えています。

尚、日頃、自分の個人情報を送信する場合には、その相手方が信頼できるかどうかを「プライバシーポリシー」の内容や「プライバシーマーク」の有無で見極めて、必要最小限の情報だけを提供するように心がけましょう。個人的な感想を言わせてもらえば、単なるアンケート調査に何故、住所や電話番号などの詳細な個人情報が必要なのか理解できません。その情報の利用方法や収集目的が明確でないサイトには、不用意に情報を渡さないこと。この一言に尽きます。

(参考) プライバシーマーク
日本情報処理開発協会 http://privacymark.jp/

PAGE END

 


(C)2004 WEB110 All right reserved