パスワードを忘れた? アカウント作成
8810 story

アッカ、339,177件の顧客情報流出を確認・流出したか確認することも可能だが… 143

ストーリー by wakatono
「窮すれば鈍する」を地で行っております… 部門より

ぐるり 曰く、 "以前個人情報の流出が報じられたアッカ・ネットワークスだが続報が出ている。 アッカの発表によると、アッカは、警察が入手し、アッカに照会のあった339177件(3月に流出が確認された201件を含む)について、自社の顧客情報と一致することを確認した、と発表した。流出した情報には氏名、郵便番号、住所、電話番号、申込時連絡用メールアドレスが含まれている、とされているが、他にどの程度の情報が含まれていたかは発表を見る限り明らかにされていない。 なお、『今回流出が確認されたお客様情報に該当するか否かを確認することができる仕組み』を用意したそうなので、過去会員だった方も含め、確認することをおすすめする。@niftyのように、無料でメールアドレスの変更を行うなどの対応を開始したISPもある。"

"なお、流出していた場合、

このたびは、ご迷惑をおかけして大変申し訳ございません。
ご入力いただいた情報は、流出が確認された顧客情報と合致しております。

提携ISP各社と連携の上、早急にご対応をさせていただきます。

本件に関しまして、すべてのお客様関及び関係者の方々に多大なご心配とご迷惑をおかけしたことを
深くお詫び申し上げます。

今後も再発防止に徹底して努め、お客様と社会の信頼を回復するために全力で取り組んでまいります。
というメッセージが表示された。ええ、流出していましたともさ(T_T)"

これまた流出してしまった方々にはお気の毒としかいいようがない。「確認が出来る仕組み」とあったが、これについては追い討ちをかけるようなタレコミがAnonymous Cowardからきている。曰く…

"で、お客様情報該当者確認ページ ってのがどう考えても自己署名証明書なんだけれど。アッカによれば「お客様情報該当者確認ページは、お客様のパソコン環境によりセキュリティの警告メッセージが表示される場合がありますが、問題ありません。」ってことだ。誰か警告メッセージが表示されないブラウザーを知っている人がいたら教えて欲しい。ちなみに「データの送受信はSSL技術により保護されるようになっておりますので安心してご確認いただけます。」ってご丁寧に書いてあるよ。自己署名証明書のサイトに氏名やら電話番号やら打ち込めってんだから、個人情報流出の実績はダテじゃないよね。ところでXSSは大丈夫なのかい?って聞きたいところだけど、怖くて聞けないよ。"

絵に描いたような泥縄というかなんというか…

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • さぁ、あの人の出番だ (スコア:3, おもしろおかしい)

    by takaha (4627) on 2004年08月27日 2時32分 (#612257) ホームページ
    u1p [srad.jp]さああああぁぁぁぁぁん。
    皆勤賞に向けて皆の期待が高まっておりますが、今回はどうでした?
  • 部門名 (スコア:3, 参考になる)

    by nijimasu (2879) on 2004年08月27日 2時48分 (#612259) ホームページ 日記
    ネタにマジレスかもしれませんが、
    「貧すれば鈍す」と「窮すれば濫す」
    がごっちゃになってます。

    # オフトピ失礼
  • 冷静に (スコア:3, 参考になる)

    by jizou (5538) on 2004年08月27日 3時17分 (#612266) 日記
    漏洩した情報は、ACCAのページ [acca.ne.jp]にはっきり書かれています。
    ------------
    弊社が入手した339,177件のリストには、氏名、郵便番号、住所、電話番号、申込時連絡用メールアドレスが含まれていました。なお、クレジット番号や銀行口座番号、利用履歴などの信用情報は含まれていません。弊社では、直接お客様から利用料を回収していないため、信用情報の取扱いを行うことはなく、弊社データベースにお客様の信用情報は存在していません。
    ----------

    発表の経緯や状況を考えると、ACCAはまじめに対応していると思います。
    漏洩経路の確認など、今後の調査・対応もきっちりやって欲しいですね。
    • タレコミ人です。
      見落としたか?と一瞬思ったんですが、俺が見た後『流出情報の内容と弊社が保有する個人情報について』以下が追加されたっぽいです。情報ありがとうございます。
      ちなみに、件の確認ページですが、昨日の夕方、Firefox 0.9.3(@Windows XP Pro)で見たときは警告表示されなかったです……orz なんで?俺設定いじった?
      Safari(@Mac OS X 10.3.5)では
      Safari は Web サイト“check.acca.ne.jp”の識別情報を検証出来ません。
      この Web サイトの証明書は不明な認証機関によって署名されています。“check.acca.ne.jp” に偽装した Web サイトに接続している可能性があり、機密情報が漏えいするおそれがあります。それでもこの Web サイトに接続しますか?
      と警告が表示されました。
      親コメント
      • Re:冷静に (スコア:2, 参考になる)

        by jizou (5538) on 2004年08月27日 21時30分 (#612866) 日記
        niftyのページには、はっきりと漏洩した情報について書かれていたので、ACCAのページを見たところ、上記の内容を見つけました。
        2時半ごろだったと思います。

        騒ぎになっていた認証の件も、今はベリサインのものになっています。
        取得日が、8/27 ですね。
        昨日のは正式な認証がとれるまでの一時的なものだったのではないでしょうか。

        # 幸い私のまわりのACCAユーザーで該当者はいませんでした。
        親コメント
  • ダメそう (スコア:2, 興味深い)

    by Technical Type (3408) on 2004年08月27日 3時17分 (#612267)
    Q インターネットで買い物をしたり,個人情報を入力することに対して不安があります。SSLが利用できるサイトなら,情報漏洩の心配がないという話ですが,SSLは本当に安全なのでしょうか。 [nikkeibp.co.jp] を地で行っていますね。 アッカは、以前は SSL を使っていなかったから個人情報が流出したとでも言うつもりなんでしょうか。

    ところで、確認ページで、こんな風に https://check.acca.ne.jp/index.htm [acca.ne.jp]意図的に URL をミスタイプしてみると、

    Apache/1.3.23 Server at brs0.acca.ne.jp Port 8080
    なんてエラーメッセージが出ますが・・・エラーメッセージを表示するだけに使っているのだと思いますが、それにしてもよく Apache/1.3.23みたいに、 既に 2002 年に、リモートから侵入される恐れのある脆弱性が報告されている [cert.org]バージョンなんか使えるもんだねぇ・・・個人情報を流出させといて、その確認をするシステムにですから。アッカのセキュリティーは一体、どうなっているんだろう。

    # 「お客様問合せ窓口」(TEL:0120-140-107)に問い合わせるほうが良さそうですね。

    • by TxG (7966) on 2004年08月27日 4時49分 (#612286)
      なんかセキュリティFIXがバックポートされたバージョンとかの可能性もありますので、バージョンだけ見てあぶねーっていうのはおかしいんじゃないかと思います。
      # 実際に試しちゃだめっすよ

      SSLに関してはどうしてなんでしょう。
      他にSSLが必要そうなページもないみたいだし、急ぎだからとりあえず自己署名なんでしょうか。

      …と思ったら有効期限が10年間で笑った。

      そういえばこの前自分用SSLサイトで証明書作ってみたら(openssl、コマンド名失念)デフォルト1ヶ月でした。
      親コメント
    • by k_f (18123) on 2004年08月27日 4時58分 (#612287)
      ややオフトピですが、サーバ文字列に含まれるApacheのバージョン番号だけでは、セキュリティホールに未対応かどうかは判断できないと思います。Red Hat 7.3は Apache 1.3.23に対してパッチを提供していた [redhat.com]ようですし。
      親コメント
    • by n225 (16459) on 2004年08月27日 13時09分 (#612527) ホームページ 日記
      っていうか、ログインしないと見られないWebサイトのURLを貼るのはどうかと思う。
      親コメント
    • by greentea (17971) on 2004年08月28日 1時51分 (#612984) 日記
      https://check.acca.ne.jp/ ではapacheのバージョンが見れなくなってる。
      でも https://check.acca.ne.jp/%s でBad Request出したら見れます。
      apacheのバージョンが上がってますね。
      証明書と言い、apacheといい、中の人はやっぱここをチェックしてるのかなぁ。

      もうちょっとしたらBad Requestも書き変えられているに一票。
      --
      1を聞いて0を知れ!
      親コメント
  • by morimon (23732) on 2004年08月27日 3時50分 (#612282) ホームページ
    こんだけいろいろと個人情報が漏れる事件があるんですから、そろそろ、「ネット世界向け」個人情報と「リアル世界」個人情報を分離するようなことも必要になってきているんじゃないでしょうか。

    たとえば、住所は完全に記号化して、それを見るのみでは、実際に住んでいる場所がわからないようにする。そして郵便局や配送業者のみがそれを元にリアル住所をデコードできるような仕組みを作るといった具合に(ワンタイム住所なんてのも導入できそうです)。加えて、ユーザの個々は、自分の情報が漏れたと認識した時点で、リアル住所のデコードを不可能にするような設定も行えるとか(鍵を変更してしまうとかで)。

    #いや、ほとんど妄想なんで、突っ込みどころはたくさんあると思いますが。
    • by Anonymous Coward on 2004年08月27日 5時04分 (#612288)
      というより、データ自体を他人事にしているIT体質があると思いますよ。
      会社員自体が会社がどうなろうと自分がやっていければどうでもいい、
      というのが当たり前な生き物ですが、ITな人たちはみなデータベース構築や
      運用には精を出すけれど、1つ1つの情報に対しては何の感情も持ってない
      としか思えないです。

      つまりハードやソフトは大事なんだけど、その中身なんてどうでもいい、
      という人が大半ということです。
      技術があってそれを仕事にしていければ、その技術を使う人はどうでもいい
      という感覚だと感じます。

      これはある意味、マスコミと似てる業種だなあと。
      広告が収入の大半なマスコミは、その広告をきっかけにして消費活動をする
      消費者個人はどうでもいいと思っていると思うからです。
      結果広告クライアントとの付き合いだけが重要視され、視聴者や購読者に
      対する意識は薄れてしまいます。

      ですからある会社に納めてその会社の文句を聞いていれば商売は終り、
      というのではこのような事件は無くならないでしょう。
      顧客があってこそ商品を納める会社があり、その会社に自分たちも商品を
      納めることが出来る。
      まさに『商売』であるのですが、実際にこうした感覚で仕事をしている人たち
      はほとんどいないでしょう。

      個人情報は大切な納入先の大事なお客様の持ち物である、という当然の感覚
      があれば、個人情報の入ったノートパソコンを車に置いたまま食事をして
      いるうちに盗まれる、なんていう事件が起こりうるだろうかと思います。

      デジタルな仕事の先にいるお客様は、生身の人間。
      だからこそ自分が被害者になったときには、大騒ぎを展開するのでしょう。

      こうしたことをまったく考えないITな人たちに何をしても無理だなと感じ
      ますが、学校の先生達をデパートなどで研修させるのと同様、学生時代の
      アルバイトだけでお客様に対する感覚があるなどと錯覚している人たちに、
      是非とも自分たちの状況を振り返って頂きたいと思っています。
      親コメント
      • by Anonymous Coward on 2004年08月27日 7時13分 (#612299)
        なにに怒ってらっしゃるのだかわかるんだけど、「意識」だけで改革すればなんとかなる、みたいな言い方も変だね。だって、そういう意識が形成されることを当たり前とするようになっているのが今の世の中ですから。

        「自分のことだけがなんとかなればよい」というのは、それこそリストラ時代、フリーター時代の処世術のうちだし、だいたいが、上から下まで他人のことを考えないようにせざるを得ないような経済状況があるわけでしょう。

        「ITな人たち」だけが問題であれば、他の業種はどうなんでしょうか?人を人とも思わない「ばかにするんじゃないよ!」という対応を受けたことはあなたでも一度や二度ではないはず。掛け声だけでそういうことが直るとは思えませんね。

        雇用される側を使えるあいだだけ使って、あとは使い捨てにすることが、企業の「当たり前」になってきたこの状況では、誰も会社どころか経営者や顧客に注意を払う、なんてコストは、誰もかけたくてもかけていられない。VAlinuxだろうがどこの会社だろうが、要するに若いうちに使い捨てて、あとはこいつら自分で勝ってにせい、みたいな会社ばかり増えてるんだから。意識改革だけでなんとかなる、なんて思い込んでいるのは世の中をよく知らない極楽トンボだけでしょう。

        顧客の前に、会社や経営者も、社員も、みんな大切にされない、というのが今の世の中であって、その原因の1つは経済的余裕の無さにあることは明白でしょ。

        意識改革って、今流のコトバだけど、太平洋戦争のときに日本が言ってた「大和魂」とおんなじじゃないですか。資源や財産の無さを意識でカバーしましょう、って言う。それ、既に60年前に敗北してるわけで。

        顧客情報の入ったノートパソコンを置き去りにして会社や顧客に被害を与えたところで、訴訟費用その他とのバーターで考えれば、どうでもいいことになってしまう。それよりも今の昼飯のほうが大切、どんな責めを受けようと会社なんて辞めれば終わり、なんですから。ごく稀に会社から訴訟されることがあっても、社員の責任が問われることはそんなにない。

        それこそ、総無省とか経済惨業省あたりが先導して「1人でも顧客情報を流出させた企業は、1年間の業務停止」「強制的にすべての金融機関との取引停止」くらいの厳しい措置を取るくらいのほうがよほどいいと思うね。そんな会社つぶせ、ってことね。
        親コメント
      • by Anonymous Coward on 2004年08月27日 11時26分 (#612421)
        > というより、データ自体を他人事にしているIT体質があると思いますよ。
        > 会社員自体が会社がどうなろうと自分がやっていければどうでもいい、
        > というのが当たり前な生き物ですが、ITな人たちはみなデータベース構築や
        > 運用には精を出すけれど、1つ1つの情報に対しては何の感情も持ってない
        > としか思えないです。

        何を言いたいのかよく解んないですね。データ一件一件に感情を
        持てと?開発者とか運用者はデータの中身を知らない方が良いの
        ですよ。Yahooの顧客情報流出の時も開発者が漏らしたんだしね。

        実データを扱う、営業、サポートそして経営者とかがデータとし
        てでは無く、それが人であると認識すれば十分では無いかと。
        親コメント
  • by Anonymous Coward on 2004年08月27日 9時08分 (#612328)
    くらいの勢いが欲しい。
  • by Anonymous Coward on 2004年08月27日 17時29分 (#612732)
    ACCAのお客様窓口に電話して問い合わせと意見を言ってみました。
    最初の係員とのやり取りはこうなりました。

    私:警告が出るのですが。
    係:有害なホームページに誘導されるということではないので、ご安心ください。
    私:問題ないということですか?
    係:さようでございます。
    私:このまま使ってよいのでしょうか?
    係:このまま進んでいただいてけっこうです。
    私:では、この警告は何のためにあるのだと思いますか?
    係:お客様のブラウザやウイルスソフトの設定によって、警告がでることがあるものです。
    私:そちらにあるあなたのパソコンにも出るのですか?
    係:はい出ています。そのままボタンを押して先に進んでいます。
    私:ではアッカの社員の皆さんは、こういう警告が出たときにそのまま気にせず先に進んで使っているのですか?
    係:この件に関しては安全が確認されているので、先に進めています。
    私:警告が出るのはパソコンの方がおかしいということですか?
    係:この警告が出ないように本日中に設定を変更することにしています。
    私:私のパソコンの設定を変更してくれるのですか?
    係:???

    上司と交代して以下の展開に

    上:そのまま進んで問題ないものとなっている。お客様を不安にさせて申し訳なく思っている。こちらで本日中にこの警告が出ないように作業を行っているところ。
    私:SSLが安全に使えていないということではありませんか?
    上:そういうこととは違います。
    私:そちらのサイトに欠陥があるから修正しようとしているのではないのですか?
    上:現状欠陥があるわけではない。
    私:では何のために修正作業をしているのですか?
    上:お客様に不安な思いをさせてたくさんの問い合わせを頂いている。不安をおかけしないようこの警告が出ない設定に変更する作業を行っている。
    私:安全なのに不安になってしまうから作業をしているということですか?
    上:さようでございます。
    私:安全だというのは誤りです。SSLは機能していません。客が入力した個人情報は盗聴される可能性があります。客に間違った説明をしてしまったことを訂正し、証明書の修正が完了するまで、サイトの運用を止めるべきです。
    上:担当部署に確認をとってきます。
    ・・・・・
    上:確認をとりましたが、やはり繰り返しになりますが、このままお使いいただいて問題ございません。
    私:あなた方は間違った案内をしてお客さんを危険にさらしています。
    上:そのようなことはございません。セキュリティ仕様上問題がないというふうに担当部署から確認がとれています。

    技術担当者と直接に話をして問題点を伝えたいと言ったのですが、お客様対応はこの窓口でしかできないの一点張りで、これ以上、問題点を伝えることができませんでした。
  • by mor (5826) on 2004年08月27日 19時19分 (#612794) ホームページ 日記
    ASCII24に提携先ISP各社の反応の紹介があり、比較的詳しいのはInternet Watch(BroadBand Watch), CNET Japan, 毎日です。
    朝日の記事も色々な意味で注目。

    # 今更の書き込みの感がありますが…
  • よかったねぇ (スコア:2, おもしろおかしい)

    by Futaro (2025) on 2004年08月27日 21時01分 (#612857) ホームページ 日記
    ACCAさん、上には上がいて、ね。

    # あの470万人分はいま、どこの名簿屋で活躍のときを待っているのだろう?
  • by maia (16220) on 2004年08月27日 3時08分 (#612263) 日記
    先ほど、

    今回発覚しました流出情報の中には、お客様の情報が含まれていないことを弊社にて確認いたしました。

    って届きました。
    • by KAMUI (3084) on 2004年08月27日 7時06分 (#612298) 日記
      件のチェックページで試してみましたが・・・
      ご入力いただいた情報は、流出が確認された顧客情報と合致いたしませんでした。

      氏名の漢字等、お申込み時のご登録内容と一部でも異なる場合は
      正確な検索結果が表示されませんのでご注意ください。

      本件に関しまして、すべてのお客様及び関係者の方々に多大なご心配とご迷惑をおかけしたことを
      深くお詫び申し上げます。

      お客様と社会の信頼を回復するために全力で取り組んでまいります。
      ・・・と,出ます。
      一応大丈夫くさいが・・・微妙に怪しい感がたっぷり(笑)

      #取り敢えず spam は相変わらずだし
      親コメント
  • by Anonymous Coward on 2004年08月27日 3時22分 (#612270)
    javascriptで単一フレームなページに飛ばされてる様子。
    どうして、ここでURLを隠す必要があるのか知らん?
  • by Anonymous Coward on 2004年08月27日 11時05分 (#612403)
    さぁどうしよう。
  • by Elbereth (17793) on 2004年08月27日 12時32分 (#612482)
    これで、おわびに500円相当の何がしを……とか言い始めたらアッカだめぽ。
    • 今回の個人情報漏洩事件では、私のものの漏洩はなかったようです。
      まぁ、これを信じていいのか、疑るべきなのかちょっと悩んでいますが。

      で、というか、前回の漏洩では私のものが含まれていたと、確信にするに至っています。
      というのも、接続業者 [nifty.com]から貸与されたメールアドレスは最近ほとんど使って
      いないにもかかわらず、日本語・外国語を問わず迷惑メールが飛んできます。

      • 3月 11通
      • 4月 24通
      • 5月 41通
      • 6月 41通
      • 7月 114通
      • 8月 170通(投稿時)

        このうなぎ登りは尋常ではありません。google で検索すると2件ヒットするだけで、
        常用しているアドレスに比べると雲泥の差です。
        これをアッカに提示すると、500円貰えたりしませんかねぇ~。
      親コメント
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...