パスワードを忘れた? アカウント作成
4195 story

Googleに韓国の個人情報が収録されまくり 45

ストーリー by Oliver
他人ごとじゃない 部門より

longest 曰く、 "韓国東亜日報によると、米検索サイト「グーグル」に韓国の個人情報無差別公開 という。「有料インターネットサイトの会員に対する職責や住民番号、住所、携帯電話番号、暗証番号、暗証番号紛失の際の代替番号のような個人情報、数十万件が露出」って、なんでもできそう。ブロードバンド先進国韓国の大きな落とし穴といえるか。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • そもそも、こういう個人情報を、例え暗号化されていようともインターネットに流すこと自体セキュリティーがなってないと言える。

    Apacheのパッチ?MSIEの脆弱性?そんなものはどうでもいい。
    それよりも、世間一般に秘密にしておきたい情報をインターネットに流すことの重大さに気づかなければならない。自分が流していなくても、どっかの企業が勝手にインターネットに流しているかもしれない。意図的に秘匿情報のリークを行っているわけではないのだろうが、実際には漏らしていることになる。
    極論するならば、そういう情報を扱うコンピューターをインターネットとつなぐこと自体おかしいのである。
    --
    // Give me chocolates!
    • by Anonymous Coward on 2002年10月26日 4時21分 (#189870)
      極論がどうあれ、現実的にどういったところに落とし込むべきか、技術的にわかっている人間であることを自負するなら、そういう前向きなコメントを世に出すべきじゃない?

      インターネットに流すことは、今のところまだ空気に音声を乗せることよりも一般的ではないことは確かだけど、ネットが空気のようにどこにでもある自然なものになるのはそう遠い未来の話じゃない。
      /.Jをうろつくようなセンシンテキな野郎(そして淑女)どもは、そういった未来を手に入れるため、日夜ハゲンデいるってヤツもいるんじゃない?

      で、ネットが空気化したとき、やっぱりそこには見られても安全な形式を考案したり、ゼッタイ本人にしかアクセスできない秘密の隠し方とか、そういったテクノロジを確立してより多くの人たちのシアワセを実現することが技術屋の責務だとおもうよ。
      親コメント
      • 技術的に完璧なセキュリティであっても運用がタコだとあっさり突破されるというのはよくある話。
        つまり、技術屋ががんばればコトが解決するというわけではない。

        かといって、技術の問題じゃないと切って捨てるのはどうか。
        情報を裸のまま晒すのは論外としても、暗号化を施しファイアーウォール等で守られた領域に隠しておくのもダメとなると(このへんが極論)インターネットは滅ぶしかないだろう。
        インターネットなんかなくても生きていけるなんていうのは簡単だが、万事そんな調子では技術の進歩はありえない。

        技術と運用の両方を高めていってカバーしあうのが基本でしょうな。
        #今回の件は明らかに運用面のお話でしょうけど
        --
        Team Slashdot Japan Orca部もよろ
        親コメント
      • by Anonymous Coward on 2002年10月26日 21時27分 (#190094)
        >そういう前向きなコメントを世に出すべきじゃない?

        あるケースにおいて、ネットワークとの接続を断っておくとのうは、
        前向きな対処である事もあると思います。

        そんなの運用次第だと思いますが。
        親コメント
      • >ゼッタイ本人にしかアクセスできない秘密の隠し方

        世の中に*絶対*なんて事は、殆ど無いのでは?

        #本人の頭の中だけにとどめておいたって、
        #自白剤を投与されてしまえば、どうなるか分かったもんじゃない。
    • いわゆる「IT 産業」とはまったく縁のない、素人の考えなのですが。

      技術屋さんと運用屋さんとで責任のなすりつけあいをしていて、 被害者 (個人情報が公開させられてしまった人たち) のことを考えている人がいないような気がします。

      100% (あるいは、99.999% くらいでもかまわない) 確実なことが言えないのなら、また、 「技術の発展」なるもののために個人情報を漏洩のリスクに さらすことを肯定するのなら、「起こってしまった後」 にどうフォローするのか、ということをしっかりと考えてほしい。

      これは運用屋さんへの注文であると同時に、技術屋さんへの 注文でもあります。どういう運用をしていると どんなリスクが生じるのか、とかを正しく評価できるのは 技術屋さんしかいないと思うからです。それから、 人間 (運用者) は必ずミスするものだという前提に 立ったシステム設計とかって、 なされているのでしょうか。これは、まさしく技術屋さんの 仕事です。

      親コメント
      • by Anonymous Coward on 2002年10月27日 13時21分 (#190360)
        お気持ちは察しますが。

        >「起こってしまった後」にどうフォローするのか、ということをしっかりと考えてほしい。

        覆水盆に返らず。流れ出てしまった情報はもう止め様がないですね。
        事後策として今後の漏洩をとめることはできますけど、
        漏れてしまったものを回収することは不可能です…。

        自分が友達と会話してて、
        思わず言っちゃいけないことを言ってしまった後、
        「言っちゃダメだよ!」って釘さしても、
        翌日クラスのみんなが知っていた、
        そういう経験ありませんか?
        それと一緒ですね、残念ですが。

        >人間 (運用者) は必ずミスするものだという前提に立ったシステム設計とかって、なされているのでしょうか。

        人間がミスすることを前提にある程度カバーすることはできます。
        が、それを100%カバーするシステムは現実的に不可能でしょうね。
        あるとすれば「全自動」でしょう。
        結果すら人間が見られないほどの全自動であれば可能でしょうね。

        それが非現実的な解であることは言うまでもありませんが。
        もっと言えば、設計段階での見落とし、
        コーディングミスも防ぐのが非常に難しいですね。

        とはいえ、
        悪意に基づかないもの
        (セキュリティホールとか情報をお金でうるヤツとか)
        以外で、簡単に情報が漏洩するような仕組み
        (引数にIDを渡すだけで誰でも見られる仕組みとか)
        を作らないことと、
        セキュリティホールの情報に敏感になること、
        何より情報を保持する個人自身が情報漏えいに敏感になるべきでしょう。

        どんなに堅牢なシステムでも、
        ユーザがパスワードを生年月日にしていて、
        かつ自分のホームページに生年月日が書いてあれば、
        そりゃ「盗んでください」と言っている様なものです。

        また、明らかに怪しいサイトにデータを渡すのも、
        これまた自分の身を自ら危険にさらす行為です。
        出会い系サイトで電話番号とか平気で書き込む人がいますが、
        あそこから個人を特定できる人だっていることをお忘れずに…。

        技術者と、運用者と、そして個人本人。
        この3身が一体にならなければ完全な保護はおろか、
        通常の保護すらままならないでしょうね。

        責任は全ての人間にあります。
        誰かに頼むことはすべからく「責任逃れ」であることを、
        まず自分の周りを律することから始めることを、
        私も含めて肝に銘じたいものです。
        親コメント
        • まず、本人の不注意に原因がある場合、 責任を負うべき人と、被害を受ける人が同一なので、 いま話題にはしていなかったつもりです。つまり、 個人情報を扱う会社や団体の、技術面や運用面での不手際などに 責任がある場合に限った話です。

          覆水盆に返らず、といって、何もしないのでしょうか?

          たとえば暗証番号が漏れていることが分かった場合、 早急に本人に連絡を取るとともに、当該アカウントや口座を (必要であれば) 一時停止するといったフォローが必要になりますし、 ほかにも、賠償とか責任者の処分といった問題が出てくることでしょう。 というか、出てきてほしい。 ほかに、技術的に可能なこと、あるいは、運用的に可能なことを 技術的に手助けすることが可能なことは、ないでしょうか。 ほんとにないのなら、仕方ないけど。

          技術屋さんが、技術屋さんでない人の無知を笑うのは、 簡単なことです。技術屋さんのほうがものをよく知ってて当然なのですから。 が、もし運用に問題があるようなケースが多発するような場合、 それは、技術屋さんが、人間がいかにミスを犯しやすいかということについて 見積もりを誤っていたから、ということになるかもしれません。

          たとえば銀行のシステムの場合、暗証番号が大量に漏れた、 などという話は聞いたことがありません。ぼくが知らないだけかもしれませんが。 (あるいは、もしあっても、社会的影響が大きすぎるために報道しないとか?) 個人情報を扱うほかのシステムについても、 扱う個人情報の重要さに応じて、それなりの堅牢さを持ったシステムが 作れないのかな、と素人ながらに思うのです。 ~

          親コメント
          • >覆水盆に返らず、といって、何もしないのでしょうか?

            フォローは、今でもそれぞれ企業の予算や事情に応じて考えられていると思いますよ。
            人が助かるために手助けをする事はできますが、根本的に救う事は難しいと思います。
  • 日本の場合 (スコア:2, おもしろおかしい)

    by KAMUI (3084) on 2002年10月26日 6時30分 (#189884) 日記
    1億2千万人分ほど,流出の準備がなされてますが・・・
  • by nobuhiro (5244) on 2002年10月26日 8時46分 (#189896) ホームページ
    不用意に Web サイトに置いた文書が検索エンジンに収集されちゃった、って日本でも(に限らず)よくある話ですね。検索エンジンうんぬんってより、何のガードもせずに置いちゃう方が問題(インターネットが何か分かてない)ですな。

    いいかげん、こういうのに気づいて codered 対策ぐらいして欲しい。 (まだ毎日来てるよ...まあ変わらんだろうけど)

    --
    • >いいかげん、こういうのに気づいて codered 対策ぐらいして欲しい。

      同感。

      と言うか、非常に興味深いのですが、
      ウイルスに感染しても
      「みんなウイルスだって分かってるだろ?」
      とか言って対処しない人がいる(いた)そうな。
      Outlook系で単に自己増殖目的のウイルスに感染したユーザがいて、
      ISPが再三駆除するように言っ
  • by taz3 (5225) on 2002年10月26日 9時04分 (#189898) 日記

    ためしに,以下のような検索をしてみると・・・

    • 検索の対象にする箇所: ページのURL のみ
    • 検索語句: password.txt
    • ドメイン: jp
    要するに,Google の検索で
    allinurl: "password txt" site:ne.jp
    と入れて検索するとやばげなのがゴロゴロでてきます.

    --
    Koichi
    • by kiyotan (3912) on 2002年10月26日 17時04分 (#190031) 日記
      よく知らないんですが、
      つまり、なんかのソフトで、
      password.txt とい名前のファイルに
      生でなんらかのパスワードを保存する
      ことがあるってことなんでしょうか?

      #まぁ、生じゃなくても暗号化の手順を
      #ある程度知ってればなんとかなるのかも
      #知れないけど。
      --
      Kiyotan
      親コメント
    • > やばげなのがゴロゴロでてきます
      やばげなのも、ゴロゴロも出てこないけど?
    • 以前は、Googleで
      "Index of" .xls .doc
      とかで検索かけるとゴロゴロとヤバめなものが
      出てきたけど、最近はそんなに出てこないね。

      #「この仕事の続きは家で、、。」
      #なんて会社のサーバーに上げて自宅で引っ張り出すってのが、
      #けっこういるんじゃない?
      • どこから拾ったかわからないような xls や doc は
        ダウンロードはできても、開くとやばい気がするので
        十分セキュリティーになっていると確認しています
  • 見出しが (スコア:1, 参考になる)

    by Anonymous Coward on 2002年10月26日 4時12分 (#189868)
    刺激的なのでつい、原文を日韓自動翻訳 [ocn.ne.jp]にかけてみてしまいましたら、

    "米検索サイト旧文クリックすれば名前-住所ぞろぞろが"

    と、出ました。旧文はgoogleのことのようです。
    原文の見出しはマトモなようで、どうしてああいう訳になるのだか理解しかねます。
    • Re:見出しが (スコア:2, 参考になる)

      by longest (8987) on 2002年10月26日 10時26分 (#189916)
      たしかに、原文と日本語版とではタイトルがだいぶ違いますね(私が付けたタイトルもいまいち)。「韓国の個人情報が google に大量流出」などとすべきだったかも。本文でも「無差別に流布(=流出)」とありますね(1年も韓国にいたのに、しばらく使ってないとぜんぜんだめ...)。
      ※ちなみに、「旧文」とは「ぐー」を「旧」、「ぐる」を「文章/文字」と自動翻訳機が誤訳した結果ですね。発音確かには同じだけど。
      親コメント
    • by Anonymous Coward
      まるでGoogleが個人情報漏洩をした張本人のように読めますよね。

      # archive.orgでも恥じをさらしているのか?
  • 普通にリンク辿っても行ける場所ってことですよね?
    --
    taka4
    • Googleで時々経験するのが、クリックしてみるとなぜか認証(BASIC認証)を要求されるページが時々あることです。
      どういうクロールをしてそういうページが収集できるのか、私には少し不思議。
      もしかすると、クローラのログを発見したために急遽認証を付けたのかもしれませんが。

      ところで、Googleロゴがピカソになってますね。
      親コメント
    • リンクでたどれないサイトも収録されてるはずですよ。
      そのあたりは普通の検索エンジンの技術ですね。

      ってかWeb上に置いてあればたとえどこからリンクされてなくても見つける事はかなり容易です。

      なんか勘違いしてる人がいてリンクされなければばれないっていまだに思ってる人がいるんだな、、、
      • wwwブラウザしか使ってないんだもん。
        だから できること/できないこと の判断がwwwブラウザレベルのものになってしまう。

        で、その無知を棚に上げて"不正アクセスだ"なんて喚くわけで…

      • ってかWeb上に置いてあればたとえどこからリンクされてなくても見つける事はかなり容易です。
        先生!例えばどうやれば良いんですか?

        # 質問君なのでAC
        • AutoIndexListを見るとか。
          • 全てのサイトにないじゃないの…。
            FTPでPUTしただけじゃ検索エンジンでも見られないよ。
            BruteForceかけるなら別だけど、それって現実的じゃない。

            #サーバにとって、検索エンジンはWebブラウザと同等の扱い。
            #つーか、エンジンにできてブラウザにできないことなんてほとんどないのでは?
            #正確に言えば、「Webデーモンの機能
    • 誰かがURLを登録したら、リンクされてなくてもヒットするような気がします。
  • by Anonymous Coward on 2002年10月26日 19時05分 (#190056)
    でも、セキュリティは発展途上国
    coderedの発生トップ
    怪しいFireWall,アンチウイルスメーカが
    ぞろぞろ。
  • by Anonymous Coward on 2002年10月30日 13時22分 (#192139)
    大学のゼミの情報や卒業生の情報が公開されている。 あれも危ない。 30数年前に卒業した父親の名簿がのってたり 恐ろしい世の中です。
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...