 |
 |
考察しよう:なぜ「メッセサンオー」から1405名の個人情報が流出した? |
|
|
|
2010年4月1日(木)未明から翌4月2日(金)にかけて、東京・秋葉原で複数店舗を構える「メッセサンオー」の通販サイトより、購入者の個人情報が流出していることが明らかになり、ネット上を騒がせています。
個人情報が流出したのは、同社PCゲーム通販部。PCゲームの通販をウェブサイトで利用する際に必要な「名前」「メールアドレス」「性別」「住所」「年齢」「携帯電話」「一般加入電話」「注文商品の一部」といった項目を入力したページが、検索エンジン「Google」より閲覧できる状態となっていました。
さらに、検索結果のキャッシュにも個人情報を含んだページが表示されており、それらを取得して公開する悪意あるユーザーも現れたため、2次被害・3次被害も発生しているようです。
| メッセサンオー:原因など詳細は調査中、追って報告を |
秋葉原にいくつかある「メッセサンオー」店舗のうち、PCゲームを専門に取り扱う「メッセサンオー5号館」と、「メッセサンオー本店」に電話による取材を申し込みました。
なぜ情報流出が発生したのか、情報流出の現状を把握しているか、顧客への補てんを検討しているのか訊いています。
| 「メッセサンオー5号館」/店舗スタッフ/16:50 |
・情報流出の原因、現状、顧客への補てんに関しては「調査中」のため回答できない
・現在、同社の複数の人間が調査を行っている
・調査結果がまとまり次第、説明を公式サイトなどで行う
・取材や問合せには、同じように「調査中」と回答している
・「調査中」で、細かい所には回答できない。公式サイトを見てほしい
・流出した情報は完全に確定ではいが、発表どおり購入者の「名前」「メールアドレス」「性別」「住所」「年齢」「携帯電話」「一般加入電話」「注文商品の一部」と把握している
・「クレジットカード番号」「銀行口座」といった信用情報は確実に流出していない
・“「クレジットカード番号」「銀行口座」以外も信用情報ではないのか?”
→→→「調査中」のため、回答できない
・正式な発表はいつになる?
→→→本日(2日)かどうかは言えないが、近々
| ******************************************************** |
どうやら各種メディアからの取材を受けているためか、かん口令が敷かれているようで、2店舗の関係者からは有力な情報を得られませんでした。今は近々あるという正式発表を待つしかなさそうです。
18時時点では、メッセサンオーは公式サイトに謝罪文を掲載しており、調査中の原因など詳細は追って報告するとしています。
メッセサンオーのPCゲーム通販部から個人情報が流出する原因となったページは、いわゆる普通のHTMLのウェブページではありません。CGIという仕組みによってプログラムを利用しているページで、「ショッピングカート」と呼ばれる種類のものです。「カートに入れる」というスイッチが掲載されたページといえば、分かりやすいかもしれません。
一方で、私たちジーパラドットコムがゲームメーカーさんから頂く情報を掲載している「プレスリリース」という枠の記事は、CMSというシステムを利用して作成しています。その裏側である管理画面をお見せすることはできませんが、ブログなどで記事をつくる感覚と似ているかもしれません。
「Google」などの検索エンジンには、自動的にウェブサイトを巡回する「クローラー」という呼ばれるプログラムが存在しており、定期的にあらゆるウェブサイトを収集しています。今まで、「クローラー」には、上記にあげたCGIを利用するページ、あるいはCMSの管理画面を巡回する能力はありませんでした。
しかしながら、検索の精度を向上させるために、「クローラー」は日々アップデートを重ねており、最近ではCGIを利用するページ、CMSの管理画面まで巡回されるようです。つまり、検索結果にヒットするということになります。
では、今回の騒動が「クローラー」の進化によるものが原因かといえばそうではなく、通常の検索エンジンではたどり着けないように、件のページに何らかの認証システムを設ける必要があったと言わざるをえません。
メッセサンオーがPCゲーム通販部で利用していたCGIは比較的安価なもので、パッケージとして一般販売されているものです。手ごろですが、元より認証システムが組み込まれているわけではなく、また、複数クライアントが同じようなシステムを利用するため、オーダーメイドのシステムに比べて堅牢さに劣ることも確かです。
最近は、個人経営のショップでも、「ショッピングカート」を利用して通販を行っているケースは珍しくありません。そういった小規模な体勢においてシステム担当の人員を配置するのは難しいかもしれせんが、ぜひ個人情報を管理するエリアには認証システムを設けてほしいと、今回の騒動を受けて感じます。大きな企業であれば、なおさらです。
本日21時現在、メッセサンオーは、1405名の情報流出があったことを発表。「Google」から観覧可能なアドレス、キャッシュに対して削除要請を行い、全ての情報の収集と消去に注力していることを明らかにしました。
PCゲーム以外の、ガールズ販売部、コンシューマー販売部、カオス館、同人販売部での個人情報流出はないとのことです。
今後の対応については、状況を把握しだいメッセサンオーから報告されるそうです。今しばらく、経緯を見守りたいと思います。
(ジーパラドットコム編集部/広田貴久)
|
| ■関連リンク |
|
|
|
(c)copyright 2000 Messe Sanoh Internet Section All rights reserved |