アッカ、339,177件の顧客情報流出を確認・流出したか確認することも可能だが… 143
「窮すれば鈍する」を地で行っております… 部門より
ぐるり 曰く、 "以前個人情報の流出が報じられたアッカ・ネットワークスだが続報が出ている。 アッカの発表によると、アッカは、警察が入手し、アッカに照会のあった339177件(3月に流出が確認された201件を含む)について、自社の顧客情報と一致することを確認した、と発表した。流出した情報には氏名、郵便番号、住所、電話番号、申込時連絡用メールアドレスが含まれている、とされているが、他にどの程度の情報が含まれていたかは発表を見る限り明らかにされていない。 なお、『今回流出が確認されたお客様情報に該当するか否かを確認することができる仕組み』を用意したそうなので、過去会員だった方も含め、確認することをおすすめする。@niftyのように、無料でメールアドレスの変更を行うなどの対応を開始したISPもある。"
"なお、流出していた場合、
このたびは、ご迷惑をおかけして大変申し訳ございません。というメッセージが表示された。ええ、流出していましたともさ(T_T)"
ご入力いただいた情報は、流出が確認された顧客情報と合致しております。
提携ISP各社と連携の上、早急にご対応をさせていただきます。
本件に関しまして、すべてのお客様関及び関係者の方々に多大なご心配とご迷惑をおかけしたことを
深くお詫び申し上げます。
今後も再発防止に徹底して努め、お客様と社会の信頼を回復するために全力で取り組んでまいります。
これまた流出してしまった方々にはお気の毒としかいいようがない。「確認が出来る仕組み」とあったが、これについては追い討ちをかけるようなタレコミがAnonymous Cowardからきている。曰く…
"で、お客様情報該当者確認ページ ってのがどう考えても自己署名証明書なんだけれど。アッカによれば「お客様情報該当者確認ページは、お客様のパソコン環境によりセキュリティの警告メッセージが表示される場合がありますが、問題ありません。」ってことだ。誰か警告メッセージが表示されないブラウザーを知っている人がいたら教えて欲しい。ちなみに「データの送受信はSSL技術により保護されるようになっておりますので安心してご確認いただけます。」ってご丁寧に書いてあるよ。自己署名証明書のサイトに氏名やら電話番号やら打ち込めってんだから、個人情報流出の実績はダテじゃないよね。ところでXSSは大丈夫なのかい?って聞きたいところだけど、怖くて聞けないよ。"
絵に描いたような泥縄というかなんというか…
さぁ、あの人の出番だ (スコア:3, おもしろおかしい)
皆勤賞に向けて皆の期待が高まっておりますが、今回はどうでした?
部門名 (スコア:3, 参考になる)
「貧すれば鈍す」と「窮すれば濫す」
がごっちゃになってます。
# オフトピ失礼
冷静に (スコア:3, 参考になる)
------------
弊社が入手した339,177件のリストには、氏名、郵便番号、住所、電話番号、申込時連絡用メールアドレスが含まれていました。なお、クレジット番号や銀行口座番号、利用履歴などの信用情報は含まれていません。弊社では、直接お客様から利用料を回収していないため、信用情報の取扱いを行うことはなく、弊社データベースにお客様の信用情報は存在していません。
----------
発表の経緯や状況を考えると、ACCAはまじめに対応していると思います。
漏洩経路の確認など、今後の調査・対応もきっちりやって欲しいですね。
Re:冷静に (スコア:1)
見落としたか?と一瞬思ったんですが、俺が見た後『流出情報の内容と弊社が保有する個人情報について』以下が追加されたっぽいです。情報ありがとうございます。
ちなみに、件の確認ページですが、昨日の夕方、Firefox 0.9.3(@Windows XP Pro)で見たときは警告表示されなかったです……orz なんで?俺設定いじった?
Safari(@Mac OS X 10.3.5)では と警告が表示されました。
Re:冷静に (スコア:2, 参考になる)
2時半ごろだったと思います。
騒ぎになっていた認証の件も、今はベリサインのものになっています。
取得日が、8/27 ですね。
昨日のは正式な認証がとれるまでの一時的なものだったのではないでしょうか。
# 幸い私のまわりのACCAユーザーで該当者はいませんでした。
ダメそう (スコア:2, 興味深い)
ところで、確認ページで、こんな風に https://check.acca.ne.jp/index.htm [acca.ne.jp]意図的に URL をミスタイプしてみると、
なんてエラーメッセージが出ますが・・・エラーメッセージを表示するだけに使っているのだと思いますが、それにしてもよく Apache/1.3.23みたいに、 既に 2002 年に、リモートから侵入される恐れのある脆弱性が報告されている [cert.org]バージョンなんか使えるもんだねぇ・・・個人情報を流出させといて、その確認をするシステムにですから。アッカのセキュリティーは一体、どうなっているんだろう。# 「お客様問合せ窓口」(TEL:0120-140-107)に問い合わせるほうが良さそうですね。
Re:ダメそう (スコア:1)
# 実際に試しちゃだめっすよ
SSLに関してはどうしてなんでしょう。
他にSSLが必要そうなページもないみたいだし、急ぎだからとりあえず自己署名なんでしょうか。
…と思ったら有効期限が10年間で笑った。
そういえばこの前自分用SSLサイトで証明書作ってみたら(openssl、コマンド名失念)デフォルト1ヶ月でした。
Re:ダメそう (スコア:1)
Re:ダメそう (スコア:1)
やれません?
やったよ (スコア:1)
HTTP/1.1 200 OK
Date: Fri, 27 Aug 2004 00:42:54 GMT
Server: Apache/1.3.31 (Unix)
Content-Type: text/html
X-Cache: MISS from check.acca.ne.jp
Connection: close
Re:ダメそう (スコア:1)
Re:ダメそう (スコア:1)
でも https://check.acca.ne.jp/%s でBad Request出したら見れます。
apacheのバージョンが上がってますね。
証明書と言い、apacheといい、中の人はやっぱここをチェックしてるのかなぁ。
もうちょっとしたらBad Requestも書き変えられているに一票。
1を聞いて0を知れ!
Re:ダメそう (スコア:1)
使用ブラウザ:Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7) Gecko/20040626 Firefox/0.9.1
1を聞いて0を知れ!
ネット世界向けの個人情報 (スコア:2, 興味深い)
たとえば、住所は完全に記号化して、それを見るのみでは、実際に住んでいる場所がわからないようにする。そして郵便局や配送業者のみがそれを元にリアル住所をデコードできるような仕組みを作るといった具合に(ワンタイム住所なんてのも導入できそうです)。加えて、ユーザの個々は、自分の情報が漏れたと認識した時点で、リアル住所のデコードを不可能にするような設定も行えるとか(鍵を変更してしまうとかで)。
#いや、ほとんど妄想なんで、突っ込みどころはたくさんあると思いますが。
。
Re:ネット世界向けの個人情報 (スコア:1, 興味深い)
会社員自体が会社がどうなろうと自分がやっていければどうでもいい、
というのが当たり前な生き物ですが、ITな人たちはみなデータベース構築や
運用には精を出すけれど、1つ1つの情報に対しては何の感情も持ってない
としか思えないです。
つまりハードやソフトは大事なんだけど、その中身なんてどうでもいい、
という人が大半ということです。
技術があってそれを仕事にしていければ、その技術を使う人はどうでもいい
という感覚だと感じます。
これはある意味、マスコミと似てる業種だなあと。
広告が収入の大半なマスコミは、その広告をきっかけにして消費活動をする
消費者個人はどうでもいいと思っていると思うからです。
結果広告クライアントとの付き合いだけが重要視され、視聴者や購読者に
対する意識は薄れてしまいます。
ですからある会社に納めてその会社の文句を聞いていれば商売は終り、
というのではこのような事件は無くならないでしょう。
顧客があってこそ商品を納める会社があり、その会社に自分たちも商品を
納めることが出来る。
まさに『商売』であるのですが、実際にこうした感覚で仕事をしている人たち
はほとんどいないでしょう。
個人情報は大切な納入先の大事なお客様の持ち物である、という当然の感覚
があれば、個人情報の入ったノートパソコンを車に置いたまま食事をして
いるうちに盗まれる、なんていう事件が起こりうるだろうかと思います。
デジタルな仕事の先にいるお客様は、生身の人間。
だからこそ自分が被害者になったときには、大騒ぎを展開するのでしょう。
こうしたことをまったく考えないITな人たちに何をしても無理だなと感じ
ますが、学校の先生達をデパートなどで研修させるのと同様、学生時代の
アルバイトだけでお客様に対する感覚があるなどと錯覚している人たちに、
是非とも自分たちの状況を振り返って頂きたいと思っています。
そんなこと当然だと思うけどね (スコア:1, すばらしい洞察)
「自分のことだけがなんとかなればよい」というのは、それこそリストラ時代、フリーター時代の処世術のうちだし、だいたいが、上から下まで他人のことを考えないようにせざるを得ないような経済状況があるわけでしょう。
「ITな人たち」だけが問題であれば、他の業種はどうなんでしょうか?人を人とも思わない「ばかにするんじゃないよ!」という対応を受けたことはあなたでも一度や二度ではないはず。掛け声だけでそういうことが直るとは思えませんね。
雇用される側を使えるあいだだけ使って、あとは使い捨てにすることが、企業の「当たり前」になってきたこの状況では、誰も会社どころか経営者や顧客に注意を払う、なんてコストは、誰もかけたくてもかけていられない。VAlinuxだろうがどこの会社だろうが、要するに若いうちに使い捨てて、あとはこいつら自分で勝ってにせい、みたいな会社ばかり増えてるんだから。意識改革だけでなんとかなる、なんて思い込んでいるのは世の中をよく知らない極楽トンボだけでしょう。
顧客の前に、会社や経営者も、社員も、みんな大切にされない、というのが今の世の中であって、その原因の1つは経済的余裕の無さにあることは明白でしょ。
意識改革って、今流のコトバだけど、太平洋戦争のときに日本が言ってた「大和魂」とおんなじじゃないですか。資源や財産の無さを意識でカバーしましょう、って言う。それ、既に60年前に敗北してるわけで。
顧客情報の入ったノートパソコンを置き去りにして会社や顧客に被害を与えたところで、訴訟費用その他とのバーターで考えれば、どうでもいいことになってしまう。それよりも今の昼飯のほうが大切、どんな責めを受けようと会社なんて辞めれば終わり、なんですから。ごく稀に会社から訴訟されることがあっても、社員の責任が問われることはそんなにない。
それこそ、総無省とか経済惨業省あたりが先導して「1人でも顧客情報を流出させた企業は、1年間の業務停止」「強制的にすべての金融機関との取引停止」くらいの厳しい措置を取るくらいのほうがよほどいいと思うね。そんな会社つぶせ、ってことね。
Re:まぁまぁそうカッカせずに (スコア:2, すばらしい洞察)
いくら関係者各自の倫理向上をうたっても、
情報漏えいに対する予防策がシステムに組み込まれ
なければ、実効性は低いってことでしょ。
当然だと思うけど。
Re:まぁまぁそうカッカせずに (スコア:1)
結果を予想することも期待することもできない領域ですねえ。
Re:まぁまぁそうカッカせずに (スコア:1, 興味深い)
遵法精神の無い企業はこの社会での存在を許さないと言うのは、
「犯罪を意図して作られた組織」以外には有効です。
遵法精神以上のものは強制も期待も出来ません。
「そんな企業は潰してしまえ」には賛成できませんが、
「つぶれるぐらいのペナルティを」には賛成です。
潰れたって代わりは幾らでも居るんですから、
結果的に不適格者が退場するのは仕方ない。
# 今回の漏洩該当者なのでAC
Re:まぁまぁそうカッカせずに (スコア:2, 興味深い)
# 両者がどう違うのかわからないが……
従業員3人、とかいう会社なら全員が個人情報保護に気を配ることもできるでしょうが、○○支社の××部門が個人情報を漏洩してしまったらまったく関係ない部門の人達まで全部道連れ、ってのはどうかと。
私は個人情報を扱う立場でもなければ、どこか他部門がやっているであろう個人情報取り扱いにまで目をひからせることができる立場でもないので、これで会社がつぶれたとしたら納得できません。
どこぞの協会なんか見ていると漏洩に対する罰則は設けるべきだとは思いますが、潰れるくらい、というのは行き過ぎでしょう。
罪にはそれにふさわしい罰を。
Re:ふさわしき罰 (スコア:1, 興味深い)
こういう過激な主張をする人達って、自分が不利益を被る側になる可能性を全然考えてないように見えるのは気のせいかな。
顔も知らない同僚のお陰で明日から無職になっても文句は言わない?
Re:ネット世界向けの個人情報 (スコア:1, すばらしい洞察)
> 会社員自体が会社がどうなろうと自分がやっていければどうでもいい、
> というのが当たり前な生き物ですが、ITな人たちはみなデータベース構築や
> 運用には精を出すけれど、1つ1つの情報に対しては何の感情も持ってない
> としか思えないです。
何を言いたいのかよく解んないですね。データ一件一件に感情を
持てと?開発者とか運用者はデータの中身を知らない方が良いの
ですよ。Yahooの顧客情報流出の時も開発者が漏らしたんだしね。
実データを扱う、営業、サポートそして経営者とかがデータとし
てでは無く、それが人であると認識すれば十分では無いかと。
無料で引越しさせてくれる (スコア:2, すばらしい洞察)
無料で結婚させてくれる (スコア:1)
Re:無料で引越しさせてくれる (スコア:1, おもしろおかしい)
SSLの不備について電話で問い合わせてみた (スコア:2, 余計なもの)
最初の係員とのやり取りはこうなりました。
私:警告が出るのですが。
係:有害なホームページに誘導されるということではないので、ご安心ください。
私:問題ないということですか?
係:さようでございます。
私:このまま使ってよいのでしょうか?
係:このまま進んでいただいてけっこうです。
私:では、この警告は何のためにあるのだと思いますか?
係:お客様のブラウザやウイルスソフトの設定によって、警告がでることがあるものです。
私:そちらにあるあなたのパソコンにも出るのですか?
係:はい出ています。そのままボタンを押して先に進んでいます。
私:ではアッカの社員の皆さんは、こういう警告が出たときにそのまま気にせず先に進んで使っているのですか?
係:この件に関しては安全が確認されているので、先に進めています。
私:警告が出るのはパソコンの方がおかしいということですか?
係:この警告が出ないように本日中に設定を変更することにしています。
私:私のパソコンの設定を変更してくれるのですか?
係:???
上司と交代して以下の展開に
上:そのまま進んで問題ないものとなっている。お客様を不安にさせて申し訳なく思っている。こちらで本日中にこの警告が出ないように作業を行っているところ。
私:SSLが安全に使えていないということではありませんか?
上:そういうこととは違います。
私:そちらのサイトに欠陥があるから修正しようとしているのではないのですか?
上:現状欠陥があるわけではない。
私:では何のために修正作業をしているのですか?
上:お客様に不安な思いをさせてたくさんの問い合わせを頂いている。不安をおかけしないようこの警告が出ない設定に変更する作業を行っている。
私:安全なのに不安になってしまうから作業をしているということですか?
上:さようでございます。
私:安全だというのは誤りです。SSLは機能していません。客が入力した個人情報は盗聴される可能性があります。客に間違った説明をしてしまったことを訂正し、証明書の修正が完了するまで、サイトの運用を止めるべきです。
上:担当部署に確認をとってきます。
・・・・・
上:確認をとりましたが、やはり繰り返しになりますが、このままお使いいただいて問題ございません。
私:あなた方は間違った案内をしてお客さんを危険にさらしています。
上:そのようなことはございません。セキュリティ仕様上問題がないというふうに担当部署から確認がとれています。
技術担当者と直接に話をして問題点を伝えたいと言ったのですが、お客様対応はこの窓口でしかできないの一点張りで、これ以上、問題点を伝えることができませんでした。
クレーマー的常識 (スコア:1, 興味深い)
こーゆーのは誘導尋問しないと門前払いされるよん♪
門前払い出来ない状況に追い詰めてから説明してあげなきゃいけないの。
本当に知らない・疑問を感じていない・危機意識も問題意識も無い、
「一般人である」オペレータが相手なんだよね。
しかも、オペレータのマニュアルには「知らぬ存ぜぬ問題無い」を貫くよう書かれている。
話を聞く気のない相手に聞かせるのって凄く大変なんだよ。
各種報道 (スコア:2)
朝日の記事も色々な意味で注目。
# 今更の書き込みの感がありますが…
よかったねぇ (スコア:2, おもしろおかしい)
# あの470万人分はいま、どこの名簿屋で活躍のときを待っているのだろう?
含まれていない場合 (スコア:1)
今回発覚しました流出情報の中には、お客様の情報が含まれていないことを弊社にて確認いたしました。
って届きました。
Re:含まれていない場合 (スコア:2, 参考になる)
一応大丈夫くさいが・・・微妙に怪しい感がたっぷり(笑)
#取り敢えず spam は相変わらずだし
Re:含まれていない場合 (スコア:1)
入力ミスちゃう?
Re:含まれていない場合 (スコア:1)
Opera7.53でも証明書に関する確認ダイアログが出ました。
同じく、流出が確認されていないとでましたが、
流出の経路が解明されるまではすっきりしない気持ちです。
[]_g@
Re:Hit! (スコア:1)
これでボーナスゲットのチャンスを得たというのに。
#いや、どうせ1000円以下だろうけどさ
ロケーションバーも信用できない。 (スコア:1, 興味深い)
どうして、ここでURLを隠す必要があるのか知らん?
右クリックも禁止という馬鹿ぶり (スコア:1, 興味深い)
マニアレベルの馬鹿がサイト構築したようです。
Re:右クリックも禁止という馬鹿ぶり (スコア:1)
ソース見られるのが恥ずかしかったんじゃないですかね。 こんな感じだったし。
<td colspan="3">
<font color="#FF0000">
弊社ADSLサービスを、移転等により複数の設置場所でご利用になった場合は、全ての設置場所情報での検索をお願い致します。</font></div>
</td>
<div>はどこへ?
洩れた・・・ (スコア:1, 興味深い)
おわび料 (スコア:1)
500円、貰えない。 (スコア:1)
まぁ、これを信じていいのか、疑るべきなのかちょっと悩んでいますが。
で、というか、前回の漏洩では私のものが含まれていたと、確信にするに至っています。
というのも、接続業者 [nifty.com]から貸与されたメールアドレスは最近ほとんど使って
いないにもかかわらず、日本語・外国語を問わず迷惑メールが飛んできます。
このうなぎ登りは尋常ではありません。google で検索すると2件ヒットするだけで、
常用しているアドレスに比べると雲泥の差です。
これをアッカに提示すると、500円貰えたりしませんかねぇ~。
Re:おわび料 (スコア:1)
Law Right Law Rightでしたっけ。
1を聞いて0を知れ!
Re:自己署名ですか… (スコア:5, 参考になる)
情報漏洩の二大原因ではないでしょうか?<技術力不足、短期的なケチ。
僕のまわりではよく「安い、簡単、安全。選べるのは二つ。」(Cheap, easy, and secured. Pick two.) と言います。 手軽さばかりを優先して、セキュリティーへ金をかけるって意識が管理職レベルではまだ浸透してないんじゃないかな。 そのためには、技術者には「待った」をかけられる発言力と度胸が必要なんだけど。
Re:自己署名ですか… (スコア:1)
Re:自己署名ですか… (スコア:4, 参考になる)
Re:自己署名ですか… (スコア:2, おもしろおかしい)
みんなが使ってるDNSサーバは乗っ取られてるんだよ!!!
みんな、偽のサイトに自分の個人情報入れちゃダメだよ!
Re:自己署名ですか… (スコア:1, 参考になる)
証明書発行に「オヤクショ」発行の書類の提出、書類の作成、審査とか含めて結構時間かかることはあんまり知られてないらしい。
まぁ、ちーーーーさな会社ならすぐに書類の提出はできると思うけどさ。かかりちょーかちょーぶちょーせんむふくしゃちょーしゃちょうって役がたくさんついてる会社なら、その書類をぶん回すのに何日かかるんだろね(もちろん社内都合ですが何か?)
こういう件って何よりも対応の早さを求めるから証明書取得するまで待っててね、とチンタラするわけにもいかんだろ。
お客様からのお怒りのお電話静めるのに「しょうめいしょはっこうするのに(うちのかいしゃつごうで)しばらくかかりますからもっちょっとまっててくだちゃい」などいえるわけがない、いいから早く公開汁!と、営業からもページ公開を強く要求されていることはいうまでもなく。
でもまぁ、数日たっても証明書が更新されなければ真性だろうけどね。
Re:自己署名ですか… (スコア:1)
自由奔放に生きる人。 湘南の海沿いに居を構え、海の恵みを受けてゆったりと暮らすつもりの人
Re:自己署名ですか… (スコア:1)
Re:自己署名ですか… (スコア:1, 参考になる)
ベリサインは TDB(帝国データバンク)コードを持っている企業/団体なら登記簿謄本は不要ですよ。
エクスプレスサービスなら2日で発行ですし。
それ以前に今回の発表は3月の情報漏洩発覚以降の5ヶ月間の調査結果の発表ですから、事前準備する期間は十分にあったはずですよ。
#ベリサインの宣伝っぽくなっちゃったので AC
ACCAからは今のところ音沙汰なし (スコア:1)
自己証明書の件でお宅はバカですか? といった内容のメール入れましたが 今のところ何の釈明も無い。
メールではもう一つ、ACCAニュース登録 [acca.ne.jp]について、なぜメール配信に重要な個人情報が必要なのかも問い合わせたんだけどね。