今週のお役立ち情報
【セキュリティ魂】あきれた性犯罪者リスト漏えい事件
2008年06月16日10時00分 / 提供:ネットセキュリティ
「『サルでもできるSQL』を飛ばし読みした程度の素人でさえ、簡単に個人情報にアクセスできる。それだけでなく、個人情報の改変さえできた」と、州役所の情報漏洩を指摘して有名になったブログがある。そのブログによると、オクラホマのDepartment of Corrections (オクラホマ州矯正管区)のウエブページが、犯罪者の個人情報だけでなく、職員の情報も簡単に漏洩できるまま3年間も放置されていたのだ。
この発見を報告したのは『The Daily WTF』( http://thedailywtf.com/ )という、Alex Papadimoulis(アレックス・パパディモウリス)が管理する"Curious Perversions in Information Technology"(情報技術の面白いゆがみ)を発信するブログだ。
ブログの読者が持ち込んだネタをもとに、アレックスが発見した情報漏洩は、オクラホマ州のSexual and Violent Offender Registry(性的犯罪者リスト)のウエブページ。アメリカでは、性的犯罪で逮捕された人は、その後一生、現住所を市町村役所に報告しなければならない。報告された住所と名前は、このSexual and Violent Offender Registryに登録され、一般市民がこの情報を元に、近くに性的犯罪者が住んでいるかどうかをチェックできるようになっている。市によっては、性的犯罪者が引っ越ししてきた場合、近辺の住民にその旨を手紙で知らせるところもある。オクラホマではこのSexual and Violent Offender Registryだけでなく、ありとあらゆる前科者がサーチで探せるようになっている(*1)。
アレックスがサーチ結果のページにある「印刷用ページ」のリンクを見てみると、URLは以下の通りだった。
http://docapp8.doc.state.ok.us/pls/portal30/url/page/sor_roster?sqlString=select distincto.offender_id,doc_number,o.social_security_number,o.date_of_birth,o.first_name,o.middle_name,o.last_name,o.sir_name,sor_data.getCD(race) race,sor_data.getCD(sex) sex,l.address1 address,l.city,l.state stateid,l.zip,l.county,sor_data.getCD(l.state) state,l.country countryid,sor_data.getCD(l.country) country,decode(habitual,'Y','habitual','') habitual,decode(aggravated,'Y','aggravated','') aggravated,l.status,x.status,x.registration_date,x.end_registration_date,l.jurisdiction from registration_offender_xref x, sor_last_locn_v lastLocn, sor_offender o, sor_location l , (select distinct offender_id from sor_location where status = 'Verified' and upper(zip) = '73064' ) h where lastLocn.offender_id(%2B) = o.offender_id and l.location_id(%2B) = lastLocn.location_id and x.offender_id = o.offender_id and x.status not in ('Merged') and x.REG_TYPE_ID = 1 and nvl(x.admin_validated,to_date(1,'J')) >= nvl(x.entry_date,to_date(1,'J')) and x.status = 'Active' and x.status <> 'Deleted' and h.offender_id = o.offender_id order by o.last_name,o.first_name,o.middle_name&sr=yes
お分かりだろう。このURLのリンクは、ずばりページのデータを返すデータベース・クエリそのものを含んでいる。このクエリには、social_security_number(国民保障番号)や、date_of_birth(生年月日)などのコラムも含んでいる。そこでアレックスはこのクエリを改変して新たなURLをつくり、そのURLを入力して10,597人もの、国民保障番号、生年月日、現住所を含むデータを出力させることができた。
アレックスは即座に担当者を見つけ出してこれを報告する。そして次の日にはこのウエブページは「メンテナンス中」となっていたため、アレックスは問題は解決したと思った。
が、一度ページがオンラインになり、アレックスがもういちどチェックをしてみると、social_security_numberと入力しても国民保障番号は返ってこなかったのだが、Social_security_numberと文頭を大文字にしたものを入力してみれば、なんと、きちんと国民保障番号が検索結果に返ってきたのだ。
アレックスは「あきれ返った」と言っているが、当然だろう。性的犯罪者とは言うものの、アメリカでは例えば、自分のヌード写真を撮ってそれをソーシャルサイトなどに掲載した未成年や、公共の場で放尿した者も性的犯罪者となってしまうし、17歳未満のガールフレンドと性的行為を持った17歳の男子が、性的犯罪者の烙印を一生押されてしまったような例もある。また、性的犯罪者の住所・氏名などをこのSVORから手に入れて、性的犯罪者を専門にアイデンティティ犯罪を行っているものがいることも報告されている。
そこでアレックスは、ALL_TABLESを使って、その中から「面白そうな名前のテーブル」つまり、犯罪者の情報でなく、職員の情報でさえ漏洩しているということを示し、これを添付して担当者に再度報告したことで、やっと問題は解決された。
それにしても、ブログの読者は「これが企業だったら大変な騒ぎだけど、役所だと誰もまじめに受け取らない」とコメントしているが、プログラミングのいい加減さだけでなく、処置のいい加減さでもあきれるものがある。
執筆:米国 笠原利香
関連リンク
(*1)http://docapp065p.doc.state.ok.us/servlet/page?_pageid=395&_dad=portal30&_schema=PORTAL30
■こちらもオススメ!【セキュリティ魂】
・ハッキングの餌食となったATM
・アンチウイルスソフトの選び方
・優勝賞金は400万円!韓国ハッキングコンテスト
・韓国のハッカー育成国家プロジェクトの真意
・米屈指のテック大学MIT神話崩壊 幼稚なフィシングメールの餌食に
・【セキュリティ魂】バックナンバー
この発見を報告したのは『The Daily WTF』( http://thedailywtf.com/ )という、Alex Papadimoulis(アレックス・パパディモウリス)が管理する"Curious Perversions in Information Technology"(情報技術の面白いゆがみ)を発信するブログだ。
ブログの読者が持ち込んだネタをもとに、アレックスが発見した情報漏洩は、オクラホマ州のSexual and Violent Offender Registry(性的犯罪者リスト)のウエブページ。アメリカでは、性的犯罪で逮捕された人は、その後一生、現住所を市町村役所に報告しなければならない。報告された住所と名前は、このSexual and Violent Offender Registryに登録され、一般市民がこの情報を元に、近くに性的犯罪者が住んでいるかどうかをチェックできるようになっている。市によっては、性的犯罪者が引っ越ししてきた場合、近辺の住民にその旨を手紙で知らせるところもある。オクラホマではこのSexual and Violent Offender Registryだけでなく、ありとあらゆる前科者がサーチで探せるようになっている(*1)。
アレックスがサーチ結果のページにある「印刷用ページ」のリンクを見てみると、URLは以下の通りだった。
http://docapp8.doc.state.ok.us/pls/portal30/url/page/sor_roster?sqlString=select distincto.offender_id,doc_number,o.social_security_number,o.date_of_birth,o.first_name,o.middle_name,o.last_name,o.sir_name,sor_data.getCD(race) race,sor_data.getCD(sex) sex,l.address1 address,l.city,l.state stateid,l.zip,l.county,sor_data.getCD(l.state) state,l.country countryid,sor_data.getCD(l.country) country,decode(habitual,'Y','habitual','') habitual,decode(aggravated,'Y','aggravated','') aggravated,l.status,x.status,x.registration_date,x.end_registration_date,l.jurisdiction from registration_offender_xref x, sor_last_locn_v lastLocn, sor_offender o, sor_location l , (select distinct offender_id from sor_location where status = 'Verified' and upper(zip) = '73064' ) h where lastLocn.offender_id(%2B) = o.offender_id and l.location_id(%2B) = lastLocn.location_id and x.offender_id = o.offender_id and x.status not in ('Merged') and x.REG_TYPE_ID = 1 and nvl(x.admin_validated,to_date(1,'J')) >= nvl(x.entry_date,to_date(1,'J')) and x.status = 'Active' and x.status <> 'Deleted' and h.offender_id = o.offender_id order by o.last_name,o.first_name,o.middle_name&sr=yes
お分かりだろう。このURLのリンクは、ずばりページのデータを返すデータベース・クエリそのものを含んでいる。このクエリには、social_security_number(国民保障番号)や、date_of_birth(生年月日)などのコラムも含んでいる。そこでアレックスはこのクエリを改変して新たなURLをつくり、そのURLを入力して10,597人もの、国民保障番号、生年月日、現住所を含むデータを出力させることができた。
アレックスは即座に担当者を見つけ出してこれを報告する。そして次の日にはこのウエブページは「メンテナンス中」となっていたため、アレックスは問題は解決したと思った。
が、一度ページがオンラインになり、アレックスがもういちどチェックをしてみると、social_security_numberと入力しても国民保障番号は返ってこなかったのだが、Social_security_numberと文頭を大文字にしたものを入力してみれば、なんと、きちんと国民保障番号が検索結果に返ってきたのだ。
アレックスは「あきれ返った」と言っているが、当然だろう。性的犯罪者とは言うものの、アメリカでは例えば、自分のヌード写真を撮ってそれをソーシャルサイトなどに掲載した未成年や、公共の場で放尿した者も性的犯罪者となってしまうし、17歳未満のガールフレンドと性的行為を持った17歳の男子が、性的犯罪者の烙印を一生押されてしまったような例もある。また、性的犯罪者の住所・氏名などをこのSVORから手に入れて、性的犯罪者を専門にアイデンティティ犯罪を行っているものがいることも報告されている。
そこでアレックスは、ALL_TABLESを使って、その中から「面白そうな名前のテーブル」つまり、犯罪者の情報でなく、職員の情報でさえ漏洩しているということを示し、これを添付して担当者に再度報告したことで、やっと問題は解決された。
それにしても、ブログの読者は「これが企業だったら大変な騒ぎだけど、役所だと誰もまじめに受け取らない」とコメントしているが、プログラミングのいい加減さだけでなく、処置のいい加減さでもあきれるものがある。
執筆:米国 笠原利香
関連リンク
(*1)http://docapp065p.doc.state.ok.us/servlet/page?_pageid=395&_dad=portal30&_schema=PORTAL30
■こちらもオススメ!【セキュリティ魂】
・ハッキングの餌食となったATM
・アンチウイルスソフトの選び方
・優勝賞金は400万円!韓国ハッキングコンテスト
・韓国のハッカー育成国家プロジェクトの真意
・米屈指のテック大学MIT神話崩壊 幼稚なフィシングメールの餌食に
・【セキュリティ魂】バックナンバー
コメントするにはログインが必要です
Ads by Google
|
草輝出版
ロープライス¥1
|
宝島社
新品価格¥735
ロープライス¥1
|
商事法務
新品価格¥3,990
|
トリスター
新品価格¥5,715
|
前後の記事
- ドコモ、「iモード災害用伝言板サービス」「避難所等への支援」を提供中〜岩手・宮城内陸地震 RBB TODAY 16日12時41分
- 【セキュリティ魂】あきれた性犯罪者リスト漏えい事件 ネットセキュリティ 16日10時00分
- 従業員が約420件の個人情報を記録したノートPCを紛失(ダックス) ネットセキュリティ 13日16時45分
- カスペルスキーラボ、“身代金要求ソフト”「Gpcode」解読に国際協力を要請
RBB TODAY 13日16時45分
- 世界的セキュリティベンダー G DATA「ITセキュリティ・ワークグループ」を発足 Techinsight Japan 13日23時31分
ITアクセスランキング
- 1
- PS3にWindows Vistaをインストールして起動してみたムービー GIGAZINE 12日16時13分
- 2
- 「iPhone 3G」ネットワーク環境問題、高まる不満の声にアップル側は沈黙 CNET Japan 12日11時50分
(2)
- 3
- 履歴書に絶対書いてはいけない10個のウソ GIGAZINE 12日10時26分
- 4
- 雷が落ちる様子をスローモーションでとらえたムービー GIGAZINE 13日08時11分
- 5
- 【知っ得!虎の巻】ログオンパスワードを忘れたときのために備えよう
- 6
- 過激な「引き算」が進行するノートPC市場?/金森 努 INSIGHT NOW! 13日07時15分
- 7
- ケータイは何のための道具?――10代は“メール”、30代後半は“通話”がトップに ITmedia 13日07時00分
- 8
- 低価格ノートパソコンが空前のブーム、年内にシェア5割達成へ GIGAZINE 12日12時09分
- 9
- 世界を巻き込むGmailの障害 TechCrunch Japanese 12日07時49分
- 10
- 北京オリンピック開会式の花火による「巨人の足跡」は本当にCGだったのかどうかを検証してみた GIGAZINE 12日15時23分
注目の情報
アメックスのカードは充実した人生を、心から楽しむ人の一枚。
旅や日常に存在するストレスや手間を取り除いてくれる心強い
サービスたちが、このうえない心地よさを届けてくれます。
あなたの世界が広がっていく。