ACCSの著作権・プライバシー相談室から個人情報流出 53
ストーリー by Oliver
自ら見本となる 部門より
自ら見本となる 部門より
highness曰く、"ZDNNの記事より。コンピュータソフトウェア著作権協会(ACCS)は11月12日、同社で運営していた「著作権・プライバシー相談室」というWebサイトから、ユーザーの個人情報が流出したと発表した。現在Webサイト上では運営を停止する旨の告知文が記載されている。
11月9日、発見者がメールに個人情報が記載されたファイルを添付してACCSに指摘し、ACCS側で添付されたファイルの情報とACCSで管理している個人情報が一致したことを確認した。詳細は現在調査中とのこと。
よりによってプライバシーを売りにしたサイトから流出するとは、呆れてしまう。"
「セキュリティホール memo」より (スコア:5, 参考になる)
----------------------------------------
You can't always get what you want...
まずいね (スコア:3, 興味深い)
それらの人々の社会的立場が危うくなる可能性があるということでしょう。
例えば自分の在籍している会社の不正コピーの状態を説明して
「これって違法なんですか?」という相談をした内容が漏れ、
会社にバレれば何らかの処分を下される可能性が高いということです。
DM来たところで捨てればいい顧客名簿盗難どころの騒ぎではないですね。
不正コピーの情報提供窓口は安全 (スコア:0)
不正コピーを告発する「不正コピー情報提供窓口」ではないですよ。
どちらも個人情報である事には変わりませんが
親コメントが危惧するような事態は、ないのではないでしょうか?
わかりやすく言うと (スコア:2, おもしろおかしい)
Re:わかりやすく言うと (スコア:1, すばらしい洞察)
この場合、被害者は(ACCS的に)善良な市民だからなあ。
Re:わかりやすく言うと (スコア:1, すばらしい洞察)
ACCSはソフトウェアの著作権保護を目的とした団体。
どちらかというと、警察の通報受付窓口の書類保管場所が、
警察署の広報やチラシを置く棚で、誰でも取れる場所になってた
というようなもの。
もしJPCERTが不正侵入された場合は、セコムが泥棒に入られた
ようなものと言っていいかもしれないけど。
警察がお嫌いなようですね (スコア:0)
Re:警察がお嫌いなようですね (スコア:0)
そう読んだ理由は?
Re:わかりやすく言うと (スコア:1)
そんな団体がやっている「相談」窓口だよね。これって法律相談などと同義では。
弁護士事務所から法律相談に来た人の個人情報や内容が盗まれたと同じなんではないの。。。
管理責任は? (スコア:2, 興味深い)
>今回の事実につきましては、非常に遺憾であると同時に、
>事実を重く受け止めております。
>ACCSのホームページ(http://www.accsjp.or.jp/)は、
>他のサーバ管理会社を利用して運営しており、
>物理的にも別のサーバで管理されております。
なんだか、自分たちのせいじゃないよ、管理会社が悪いんだよ。
という意図が見えてやな感じ。
Re:管理責任は? (スコア:1, 参考になる)
> なお、「ASK ACCS」以外の、ACCSのホームページ
>(http://www.accsjp.or.jp/)は、他のサーバ管理
> 会社を利用して運営しており、物理的にも別のサーバ
> で管理されております。また、セキュリティ面につい
> ても問題がないことを既に確認しております。
引用範囲を少し広げてみました。
ちなみに、「ASK ACCS」=問題のあったホームページ、です。
彼らは管理会社が悪いんだ、といっているようではないようですが・・・違うの?
#何時の間にか原文が差し変わっていたのなら別ですが。
Re:管理責任は? (スコア:0)
失礼しました。
#でもあの文書読んで「管理会社が悪いようにみせかけようとしてるんじゃ」ってのはちょっと勘ぐりすぎのような。
Re:管理責任は? (スコア:0)
>「ASK ACCS」以外の、ACCSのホームページ(http://www.accsjp.or.jp/)は、
>他のサーバ管理会社を利用して運営しており、
>物理的にも別のサーバで管理されております。
でないと、ちょっと変ですね。
Re:管理責任は? (スコア:0)
Re:管理責任は? (スコア:0)
ACCSが選んで作ったシステムだとしたら、その問題の責をサーバ管理業者に求めるのは酷だと思います。アパートの部屋の鍵かけ忘れて泥棒に入られたことで大家を責めるようなものかと。
Re:管理責任は? (スコア:0)
>という意図が見えてやな感じ。
私はACCSが利用していたのと同じファーストサーバを利用していますが、この件に関しては管理会社の問題が大きいと思っています。
何故かというと、今年の8月にファーストサーバより利用ユーザ宛に以下のメールが届いているからです。
snip
>さて、よりご快適にご利用いただけるよう弊社から提供するCGIの改善に伴い
>ファーストサーバ メールニュース Vol.40やサポートWEBでもお知らせしてお
>りました通り、2003年8月18日をもって旧標準CGIの新規インストール機能の
>ご提供を終了し、同時に
何のために個人情報収集してたの? (スコア:2, 興味深い)
とりあえず、てきとーにいくつか考えてみました
1.相談してくれた人にはもれなく資料をプレゼント
2.相談内容によっては、相談者のところに押しかけてソフトウェア不正使用等の現場を押さえる必要があるから
3.会員に横流しするため
4.個人情報必須にして屑な質問を抑制
5.ただなんとなく
どれでしょう?
Re:何のために個人情報収集してたの? (スコア:2, 興味深い)
何も考えていないんですよ。はっきりいって。
何気なく個人情報を集めていて、集めたからにはそれを管理しなければならないのにやっていない。セキュリティの事なんかさっぱり考えていない。これじゃあ、流失事故が発生して当たり前。
企業は、よく考えて本当に必要な情報だけを収集するようにしていただきたいですね。これでは(基本的には)IPアドレスしか取っていない2ちゃんねるのほうが安心できるではないですか(苦笑)。
Re:何のために個人情報収集してたの? (スコア:0)
そもそも、何も分かっていないのではそう言うシステムに対してね
大体、サーバーそのものを別会社が保守管理している時点で呆れた。
それぐらい、自前で雇えと言いたい
サーバーは自社ビル内にあって保守
Re:何のために個人情報収集してたの? (スコア:0)
コメントは一度読み返して、自分以外にも読解可能か確認してから投稿してください。
Re:何のために個人情報収集してたの? (スコア:0)
なんてな。
Re:何のために個人情報収集してたの? (スコア:0)
これって (スコア:1, 参考になる)
聞いたときはぞっとしました。
他のサイトも同じCGI使ってるとこ、たくさんありますね
Re:これって (スコア:0)
Ай-я-яй (スコア:1)
http://www.asahi.com/national/update/0104/003.html [asahi.com]
よりによって (スコア:0)
だからこそ発見者は調べてみる気になって調べてみたらほんとうに発見してしまったのでしょうね。
これから行われるであろう原因究明と今後の対策について、いい見本を示して欲しいものです。
Re:よりによって (スコア:1)
#他人様のプライバシーを文字通り売り出してたんですな。
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Re:よりによって (スコア:1, おもしろおかしい)
プライバシー反故...
# 言ってみたかっただけです
Re:よりによって (スコア:1, 余計なもの)
ACCS が守っているのは、ユーザの個人情報ではなく、既得権益。
誤解しないようにね。
つまり、ACCS にとって、今回の事件は痛くもかゆくもないわけです。
Re:よりによって (スコア:0)
タイ━━━━||Φ|(|゚|∀|゚|)|Φ||━━━━ホ!!
とかされないのかな
また富士通グループか (スコア:0)
最近日経なんちゃらに載っている、バックアップやリストアに失敗、セキュリティホールがうんぬん、というやつは富士通グループばっかりなんですよねー。なんでなんだろ。
Re:また富士通グループか (スコア:2, 興味深い)
因みに今回のはホスティングしてるkubota [kubota.co.jp]グループのFirstServer [firstserver.ne.jp]が、客に使わせていたメール送信フォームのXSSバグが原因。
既にバグ持ちだということは、去年のうちに客には連絡していたらしいけど…。
詳しい話はOfficeたんのサイト参照 [office.ac]
脳味噌腐乱中…
Re:また富士通グループか (スコア:0)
なんでも XSS って言ってりゃいいってもんでもありません。
Re:また富士通グループか (スコア:1)
見つけた最初のページ [ipa.go.jp]にある、「背景・前提知識」の「2. 他のタグの悪用」に当てはまると思うのですがどうでしょう。
エラー用のページ指定がINPUT要素に存在してあり、そのページ先を変更することによりcgiのソースを引っ張ってこれるようになっていたのだから。
脳味噌腐乱中…
Re:また富士通グループか (スコア:0)
「あるサイトに書かれているスクリプトが別のサイトへとまたがって(クロスして)実行される」 [ipa.go.jp]ものではありませんでしたし、
「ページの自動生成過程において、悪意ある者がそのページを構成する部分を記述できてしまう状態」 [ipa.go.jp]でもありませんでした。
Re:また富士通グループか (スコア:0)
実際のトラブル数では他と比べて多いわけではないのですが、記事は他と比べて多いですね。
やはり、社長がネットアイドルだから、叩くとライターも読者も楽しいのであろ。(w
Re:また富士通グループか (スコア:1, 参考になる)
世の中全部を知ってるわけではないですが、やはり他と比べてずいぶん多いようです。
……ただし、持ってる数が多いから多いのであって、比率でいうと他社と変わらないかもしれません。
#記事が多いのは大物でポカする率が高いからかもしれない
Re:また富士通グループか (スコア:0)
本当ですか?
一般人がその事実を知る方法はありますか?
Re:また富士通グループか (スコア:0)
その親分の秋草さんはまあアレだけど。
#くろさん通信を楽しみにしているのでAC
Re:また富士通グループか (スコア:0)
…あ、御免なさい。今はアッキーは社長じゃないんですね。
じゃあ、上のは「CEOがネットアイドルだから」に修正します。
どんな詭弁を弄してくれるか (スコア:0, フレームのもと)
とりあえず見もの。
Re:どんな詭弁を弄してくれるか (スコア:0)
Re:どんな詭弁を弄してくれるか (スコア:0)
ゴロ同志で意気投合するんじゃないかな。
http://pc.2ch.net/test/read.cgi/sec/1056460664/l50
Re:どんな詭弁を弄してくれるか (スコア:0)
ACCSの久保田一家が暴力団と繋がっていると書かれているけど
どういうことなのか識者求む
自作自演も (スコア:0)
同様に、プライバシー保護のために、あえて個人情報を流出させる自作自演疑惑か?
(自身の存在意義を見せしめる意味で)
まぁ、自分で垂れ流してしまってるんで世話ないけど。。。
ソースコードを開示せよ (スコア:0)
侵していそうな気になってきます。
ACCSが使用しているGUNなソフトウェアの
ソースコードを再配布要求は可能なのでしょうか?
(ソースをいじっている、いじってないに関わらず)
Re:ソースコードを開示せよ (スコア:0)
他人のプライバシーを撃ち抜くソフトウェアですか?:-)
Re:ソースコードを開示せよ (スコア:0)
そのソフトのバイナリー等を再配布しているなら配布を受けたユーザに限り要求する事が可能です
再配布してないのならそれはGNUのライセンスどおり配布義務はありません
#いいかげんFAQかなぁ
ところで (スコア:0)
https://www.netsecurity.ne.jp/article/1/4650.html
よい子の皆さんへ (スコア:0)