パスワードを忘れた? アカウント作成
Close
2831 story

みずほ証券で個人情報流出の危機 33

ストーリー by kazekiri
泥沼の様相 部門より

Technical Type 曰く、 "セキュリティホール memo の ML で紹介されたFinancial Times の 4/8 の記事でみずほが its website leaked customers' pin numbers と報道されていたので、気になっていましたが、 Netsecurity でも「みずほ証券の web で 4,300人のパスワードなど個人情報流出の危機」という解説が載りました。 どこまで行くのか、みずほのトラブル!"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

みずほ証券で個人情報流出の危機 More

  • Tea Room for Conference [office.ac]の#766により詳しい情報が載っています。ちなみにその前後の書き込みを見るとよく分かりますが、みずほグループのWebサイトは穴だらけです。

    ちなみに、Netsecurityの記事自体、office氏が書いた文章(#766-8)の丸写し(無断掲載らしい)です。
    …これは正当な引用の範囲を超えてる、というか「引用」ですらないですね(笑)
    • 教えていただいた掲示板を拝見しました。Netsecurity も、他人が苦心して調べて無償で公開してくれているセキュリティーの問題を、そっくり「頂戴」してあたかも自分達で発見したかのように書いて、「Netsecurity はすごい。費用を払ってコンサルティングを任せよう」というカモをつかまえようという会社なのかもしれないですね。
      シェア
      親コメント
      • …えーと。

        officeさんはNetSecurityに日常的に記事を執筆しておられます。で、いつもofficeさん執筆の記事が掲載されるときは、例えばこのように [netsecurity.ne.jp]officeさんの執筆した記事であることが明らかに分かるようになっているのですが、今回はそのクレジットや事前の連絡が無かった、ということを、掲示板の#766-11あたりで述べておられます。
        そんなわけで、盗作うんぬんというのは(少なくとも)このケースにはあてはまりません。当事者間の問題であって第三者がとやかく言うことではないでしょう。

        …とはいえ、まぎらわしい書き方をしてしまったのは私のミスです。すみません。以上、お詫びと補足でした。
        シェア
        親コメント
        • そうかもしれません。しかしNetsecurity の該当ページ [netsecurity.ne.jp]には

          この問題について4/15 23:26にみずほ証券に連絡したところ、4/16 10:59頃からアクセスできなくなり、4/16 18:00に修正した旨報告を受けた。

          とあって、これでは誰がどう読んでも「ああ、ここの編集部が問題を発見し、みずほ証券に連絡したんだな。すごい」と思いますよね。でも、Tea Room [office.ac]の766番の記事の前後を読むと、 問題を発見したのも連絡したのも Office氏で、それもこれはNetsecurity に載るより2日前だとわかります。

          結局、Netsecurity はOffice氏に、記事掲載の事前に許諾も事後連絡もせず、Office氏の名前も載せずに Tea Room の掲示板を丸写しした挙句、ページの下にこういう文面を載せるのは、まぎらわしいというよりも、故意に読者を誤導しているとしか思えません。

          Copyright (c) 1999 - 2002 Livin' on the EDGE Co., Ltd. & Vagabond Co.,LTD.

          シェア
          親コメント
    • Netsecurity の記事 [netsecurity.ne.jp]を見たら、最後に office さんの名前が付いています。おそらく何か解決したのでしょう。

      また、 office さんのコメントが Tea Room for Conference [office.ac] の #766-13 に出ています。
      --
      鵜呑みにしてみる?
      シェア
      親コメント

    • Re:Tea Room for Conference (スコア:0)

      by Anonymous Coward
      責務意識が欠落しているあたり、どちらもどちらということか。

    • Re:Tea Room for Conference (スコア:0)

      by Anonymous Coward
      Tea Room for Conference でこのネタは知っていた後日にNetsecurityでNEWマーク付きで出ていた。呼んだ瞬間「アレっ」と思ったけどまさかoffice氏に無断!?そうならいただけませんねぇ。なんらかのコメントを期待したいです。>Netsecurity殿

  • 便利さの代償? (スコア:1)

    by Technical Type (3408) on 2002年04月19日 17時16分 (#84200)
    つい先日、身に覚えの無い請求がカード会社の明細に載っていました。カード会社の人は「オンラインで買い物をしてますよね?」といった話をして、まあ確かに Amazon なら使ったけど、インドの会社なんか知らないと答えました。また、海外に旅行していましたがと答えたら、「それだぁ!」と言わんばかりに電話の相手が色めきたって、「ATMが一台も無い島でしたが」と答えましたが、そうでなかったら怪しい店で買い物したでしょうとかそういう話になったかもしれません。気持ちが悪い(チェックディジットも合ってたわけですから)ので結局カード番号を変えました。 もう引き落としは止められないので、調査して「私が買ってない」と判明したら返金されるとの事。世の中、オンラインで物が買えるようになったのは便利なんだか面倒なんだかわからないな、と思いました。アメックスはオンラインの買い物で補償が受けられるみたいですけどね。

    みずほも統合によるコストダウンばかりが強調され、新体制でのサービス開始を急ぐあまりセキュリティーが置いてきぼりになっている気がします。このあたりは UFJ その他でも同様みたいですけど。こうなると、消費者としても「あの銀行はまともなシステムのようだ」とか、「統合したばかりの所は様子見が無難」とか、色々考えないといけなくなりますね。

    • Re:便利さの代償? (スコア:1)

      by reo (4042) on 2002年04月19日 18時10分 (#84238) 日記

      気持ちが悪い(チェックディジットも合ってたわけですから)ので
      結局カード番号を変えました。 もう引き落としは止められないので、
      調査して「私が買ってない」と判明したら返金されるとの事。

      僕は三井住友VISA [smbc-card.com]のクレジットカードを利用しているのですが、身に覚えのない請求に遭遇した時、まあ少額だった事もあって無視してました。ところがそれが毎月続いて、半年ほど放置していたんですが、まあ、1年に換算したら結構な額になるのでサービスカウンターに電話してみました。そうしたら、確か書類を書いて返送させられたはずなんですが、半年分の請求され続けた金額を返却してくれて、請求先にも何らかの対処をしてくれたらしく、次の月からは引き落としがなくなりました。サービスかくあるべしとか感心したものです。

      --
      Hiroki (REO) Kashiwazaki
      シェア
      親コメント

      • Re:便利さの代償? (スコア:1)

        by Technical Type (3408) on 2002年04月21日 10時37分 (#84831)
        > サービスかくあるべしとか感心したものです。

        私の所はセゾンなんですが、まあ、「入会費・年会費無料だからこんな物かな」と言いますか、タダの割りにはまあ良い方かな、と思います。やっぱりサービスの良さはカードのグレード(会費の高さ)にある程度、比例するのでしょうかね。不正使用に対する保険金が積み立てられるから。

        シェア
        親コメント

        • Re:便利さの代償? (スコア:0)

          by Anonymous Coward
          私もセゾンですが,1年ほど前何処かのアダルト系サイトに
          勝手に登録されてたことがありましたが,番号変更,支払い
          取り消しまできっちり対処してもらえました.
          それに比べて某カードは手違いでカードが届かず(会社のデータには
          未着とあったにもかかわらず)しっ

      • Re:便利さの代償? (スコア:0)

        by Anonymous Coward
        1円でも無視できないに1ザバス(違)

    • Re:便利さの代償? (スコア:1)

      by seldon (5637) on 2002年04月19日 18時47分 (#84252)
      とりあえずココだけ
      (チェックディジットも合ってたわけですから)
      チェックデジットが合うぐらいはあたりまえというか、 チェックデジットの計算方法なんてヒミツでも何でもありません。
      たとえばこんな検索 [google.com]してみたら、ソース付きでボロボロ出てきたりします。
      シェア
      親コメント

      • Re:便利さの代償? (スコア:1)

        by Technical Type (3408) on 2002年04月21日 10時33分 (#84829)
        > チェックデジットの計算方法なんてヒミツでも何でもありません。

        なるほど、参考になります。考えを改めないとだめですね。ちなみに、私の場合、チェックディジットの箇所だけ変更になったカードが送られてきました。(ちょこっとだけ計算のアルゴリズムが変わった新バージョンでもあるのでしょうか・・・・)

        シェア
        親コメント

  • Tea Room for Conference (スコア:0)

    by Anonymous Coward on 2002年04月19日 11時16分 (#84075)
    これ [office.ac]の#766あたり。

    • Re:Tea Room for Conference (スコア:1)

      by youkan (3208) on 2002年04月19日 16時38分 (#84180) 日記
      私がいま一番心配なのは、office氏が(たとえば)交通事故をよそおって、闇に葬られないかということ。
       一般の新聞社は、こういうことは取り上げないから、普通の国民は、企業のセキュリティホールへの対応や放置の実態を知りませんが。共同通信の配信を、もし、興味を持った編集部員がいて、連続して取り上げてしまうと。。。命を狙われるのではないかと危惧しています。
      シェア
      親コメント
      • パスワードファイルが読めてしまった瞬間には マジでそれを恐れました。 ま、こっちもそれなりに(実効力がどの程度あるかは ともかく)対策しつつ動いてます。
        --
        office
        シェア
        親コメント

      • Re:Tea Room for Conference (スコア:0)

        by Anonymous Coward
        今のような活動をするよりも不正アクセスで見せしめ逮捕になった方が世間に広く関心を持って貰えることでしょうが、残念ながらそこまで身を挺して訴えるつもりではないようですな。

        • Re:Tea Room for Conference (スコア:0)

          by Anonymous Coward
          むりやり/etc/passwdを見ちゃったのだから、法的には不正アクセス行為の禁止等に関する法律に引っかかってるでしょ。/etc/passwdを探し当てるまでに、あちこちのファイルを見ているだろから犯意がなく偶然であるとも言い逃れできないだろうし。どう考えてもWebサーバが本来提供している情報から大きく逸脱してWeb利用者が本来アクセスを許されていない情報を見ているので、この条文にひっかかります。

          不正アクセス行為の禁止等に関する法律
          ...
           (不正アクセス行為の禁止)
          第三条 何人も、不正アクセス行為をしてはならない。
          ...

          • 「Web利用者が本来アクセスを許されていな」くても、 みずほ証券は、何故か誰でも見れるようにしていたのだから、 問題ないに決まってるでしょ。

            今までこういう事例(通常見れない領域を解放していることに気づいて、その危険性を調査報告した例)は山とあるのだから、そういった行為がどういう風に評価されてきたかもふまえずに、 公開の場で特定個人を罪人扱いしないように。

            # ここで薄弱な根拠で私を罪人扱いを公言することは、公益にもなってないよ。
            ## 何が言いたいかわかるね?

            --
            office
            シェア
            親コメント

            • Re:Tea Room for Conference (スコア:0)

              by Anonymous Coward
              掲示板をタグで荒らすのと変わりないことしかしていないから?

            • Re:Tea Room for Conference (スコア:0)

              by Anonymous Coward

              今までこういう事例

              ご参考までに紹介しますが、システムに瑕疵があったからといっても、その瑕疵を故意に利用しアクセス制限を回避している時は同じであるというのがこの法律を作った時の国会の答弁に出ています。当然といえば、当然ですけど。 たとえば/etc/passwdにたどりつくまでベタベタと他のファイルにもアクセスした場合「/etc/passwdだけ偶然みつけた」というわけではないので、常識的には瑕疵を故意に利用する行為に当たるという判断になるでしょう。 その次に許可を与

              • Re:Tea Room for Conference (スコア:0)

                by Anonymous Coward
                1. 法律には「第三条:何人も、不正アクセス行為をしてはならない。」とあります。

                それは正論でしょうが、この場合、私の見る限りでは、不正行為目的ではないように思いますので、顧客情報の流出の防ぐという意味での、公益にはかなっているはず。つまりは、指摘することで、公益にかなっているという意味で。

                でも、今の法律で問題にならないかというと、そうは言い切れないので、よりよい法

              • Re:Tea Room for Conference (スコア:1)

                by jbeef (1278) on 2002年04月24日 10時13分 (#85721) 日記
                それは正論でしょうが、この場合、私の見る限りでは、不正行為目的ではないように思いますので、
                ../../../../etc/passwd を実証デモに選んだのは、それが直感的なインパクトのある象徴的ファイルのひとつだからだろうけど、../../../../usr/lib/stdio.h あたりにしておけば、問題点の実証を達成しつつ、より無難にはなったかも。
                シェア
                親コメント

          • Re:Tea Room for Conference (スコア:1)

            by hatoku (1188) on 2002年04月19日 18時58分 (#84261) 日記
            >当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

            「制限されている特定利用をし得る状態」には、もともとなっていたわけです。
            (むろん、そうしたのは管理者または承諾を得た人だから罪にゃならん)

            それを教えてあげただけですな。
            シェア
            親コメント

          • HTTPに従ってGETコマンドを入力しただけでどんなファイルでも読めるような計算機を「アクセス制御機能を有する特定電子計算機」と言うのは無理があるのではないか。パスワードも何にもなしでしょ?

            シェア
            親コメント

          • Re:Tea Room for Conference (スコア:0)

            by Anonymous Coward
            実害は無いので問題ありません。 ・ただでセキュリティ監査をしてもらったほう ・パスワードファイルがだだ漏れなほう さてどっちがだ。

    • Re:Tea Room for Conference (スコア:0)

      by Anonymous Coward
      何でもいいけど、「自分は技術は無い」と公言しながら、方々のFormに../..とかSCRIPTとか書いて回るのはウザいから止めれ。
      あんたらのやってる事はCodeRedと変わらんぞ>やってる人 ≠#84075のACさん
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ