パスワードを忘れた? アカウント作成
10462 story

個人情報窃盗犯を価格コムなどへの不正アクセスで逮捕 177

ストーリー by Oliver
真っ黒クラッカー 部門より

RX-178曰く、"朝日新聞読売新聞などの記事によると、旅行会社クラブツーリズム静岡新聞、人材派遣会社アデコ価格コム等のサイトからSQLインジェクションを利用して個人情報を盗んでいた留学生が逮捕されたようです。犯行理由は学費を稼ぐためと供述している模様。
各記事をまとめてみたところ、クラブツーリズムから16万件、静岡新聞が運営する就職支援サイトから4万件、アデコから8万件、価格コムから9万件など、14社のサイトから個人情報を盗み出し、1件0.2円(最高2円)で売ったということです。
記事の中で価格コムからも個人データを盗んだとされていますが、調べによると4月下旬から5月上旬に2回侵入しデータを盗んだということになっています。価格コムのアタック、侵入によるウィルス配布騒ぎ5月中旬でしたので直接の関係はないであろうと見ているようです。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 意図的なミスリード? (スコア:3, すばらしい洞察)

    by condor (22946) on 2005年07月08日 10時43分 (#764539)
    価格コムは、どうも5月の犯人と同一と見なしたい [kakaku.com]ようです。
    別件であると言う可能性に触れられてもいないのは、素敵すぎです。

    個人情報が目的で侵入した犯人が、プログラム改竄・ウイルス配布騒ぎをわざわざ起こ
    すはずが無いことは、常識でも推定できそうですけどね。
  • by volatile (27445) on 2005年07月08日 11時50分 (#764575)
    この留学生による価格.com 侵入については以下のように [asahi.com]報じられている.

    > だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、
    >部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。
    > 不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。

    先の office 氏による ACCS アクセスは,CGI 引数にファイル名を渡すことが
    不正アクセスであると認定され(そのファイルが個人情報であったかどうかは
    本質的には罪状に関係ない),控訴も取り下げられ有罪が確定したわけだが,
    それにひきかえ「アクセス制御機能」が不十分であると判断された
    価格.com のセキュリティとはいかほどだったのだろうかと.

    私見では CGI 引数を変更してアクセスすることは別段まずいことではないし
    (例えば amazon.com の特定の書籍の URL を他人に教えるのに,余計な
    引数を削除することはあるし,URL の一部を変えることで ISBN から直接
    書籍を指定することも出来る), 特定のコマンドや記号を用いるという点で
    明らかに目的性がはっきりしているSQL インジェクションより慎重に判断されて
    しかるべきだと思うんだが,・・・

    しかも今回は別件の侵入事例もあり,また個人情報を売り渡していたと言うことで
    悪意・犯罪性も高いと思うのだが,それに対して(個人情報を流布して
    しまったとはいえ)本来はセキュリティの向上を啓蒙しようとしていた
    office 氏の件には情状酌量の余地があるように思えるんですが.

    少なくとも上記引用のように「不正アクセス禁止法の要件を満たさない可能性」が
    あるのであれば,疑わしきは罰せず,で無罪であってしかるべきだと思うがなあ.

  • カカクコムのサイト攻撃、中国からも [asahi.com] の記事によれば、件の中国人留学生をカカクコムに関しての不正アクセス禁止法違反の容疑では立件が難しいようですね。
    • この記事が本当だとしたら実に興味深いですね。

      office氏は不正アクセス防止法違反で、当該の留学生は不正アクセス防止法違反ではないと。

      --
      名物に旨いものなし!
      親コメント
      • by seoth (17664) on 2005年07月08日 9時56分 (#764507)
        俺たちはどうやら (前略)

        以前の記事 [srad.jp]を見てみよう
        青柳裁判長は「問題のファイルには、FTPサーバからIDとパスワードを入力してアクセスするのが通常。CGI経由のアクセスは、FTP上のアクセス制御を回避した不正アクセス行為にあたる」と認定した。
        FTPでアクセス制御…即ちパスワードの事だ。つまりFTPでパスワードがかかっていたら「アクセス制御が十分有り、これを回避する事を不正アクセスとする」という事だ。
        ここで asahi.com の記事 [asahi.com]を見てくれ。
        この時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。
        「侵入されても不正アクセスとは言えないぐらいアクセス制御が不十分」つまり kakaku.com のFTPにはパスワードがかかっていなかったんだよ!!

        # ネタです…制御の有無を問うならFTPではなくDBだし…書いてるうちにACさんに先を越されたし…

        しかしACCSの事件と今回の違いは気になりますね。今回の事件こそ
        「問題のデータには、DBMSクライアントからIDとパスワードを入力してアクセスするのが通常。Webサーバ経由のアクセスは、DBMS上のアクセス制御を回避した不正アクセス行為にあたる」
        と認定できそう(Webサーバ経由でアクセスできる事自体は普通なんですけどね)なものですが。
        親コメント
        • by Anonymous Coward on 2005年07月08日 10時19分 (#764528)
          > 「問題のデータには、DBMSクライアントからIDとパスワードを
          > 入力してアクセスするのが通常。Webサーバ経由のアクセスは、
          > DBMS上のアクセス制御を回避した不正アクセス行為にあたる」

          いや、もしかしたら、ここにさえID+パスワードがかかっていなかったために、

          http://www.asahi.com/national/update/0707/TKY200507070250.htmlより抜粋
          > 少なくともこの時点では同社のサーバーは、利用者を特定の
          > 人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十
          > 分だった疑いが強いことが判明。不正アクセス禁止法の要件を
          > 満たさない可能性が高いと判断したという。

          ということなのかもしれない。

          最高のセキュリティ、ぶらぼーー!!
          親コメント
      • by Anonymous Coward on 2005年07月08日 9時31分 (#764487)
        そうなんですよね。
        これが不正アクセスではなくて、office氏は不正アクセスだった・・・よくわからん・・・・

        FTPによるアクセス制御はなかったのかしら?

        どちらも、HTTPに関する攻撃だと思うんだけど。

        office氏事件では、HTTPドアは開いてても、FTPのドアさえカギかけておけば、不正アクセスだったんだよね?

        ちょっと家のドアに例えてみたんですが、もっとわかり易い例えで説明できないかな?
        なんかちょっとイメージが違う気がする
        親コメント
    • by Anonymous Coward on 2005年07月08日 9時38分 (#764491)

      だが、少なくともこの時点では同社のサーバーは、利用者を特定の人に限り、部外者の侵入を防ぐ「アクセス制御機能」が不十分だった疑いが強いことが判明。不正アクセス禁止法の要件を満たさない可能性が高いと判断したという。
      なんだこりゃ?
      『「アクセス制御機能」が不十分』の基準が意味不明だよ。
      ACCSのセキュリティ対策は十分だったけど
      価格コムの対策は十分ではなかったと?
      office氏も価格コムも好きではないが、
      こういうわけのわからん基準で裁かれるのだとするなら、
      ちょっと同情してしまう。
      親コメント
    • >不正アクセス禁止法違反の容疑では立件が難しい
      価格.comの不正アクセスについてのご報告 [kakaku.com]に

      今回のように検挙され処罰されていくことが示されることで、インターネット犯罪に対する大きな抑止力になると思います。

      というのがあるのが痛々しい。
      親コメント
  • by Anonymous Coward on 2005年07月08日 8時35分 (#764462)
    各企業におけるセキュリティー対策の施しや
    その技術レベルに波があるので
    検察側は、罪の立証について深く突っ込めないのが現状ッて言うことでよいのかな?

    逆にいえば、業界内で統一したセキュリティー見解をつくれと言っているようにも聞こえる。

    ##あぁ猫解体。
    ##Portsなんて初戦敗退です
    ##コーンを食べた次の日、うんコーンとなった
  • 価格.com (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2005年07月08日 7時35分 (#764439)
    やっぱSQLインジェクションでやられてるじゃん。
    それでも過失はない [nikkeibp.co.jp]と言い張るつもりなのだろうか?
    #攻撃の手口を公開しなくても多数の被害受けてるね。
    #有る意味容疑者に手を貸したようなもんだ。
  • by heath_yam (16773) on 2005年07月08日 8時32分 (#764459)
    メールアドレスのみ:0.2円
    氏名住所電話番号入り:2円
    こんぐらいでしょうかね。
    --
    ヒースキット山口 heath yamaguchi
  • やっぱりね (スコア:1, 興味深い)

    by Anonymous Coward on 2005年07月08日 9時11分 (#764473)
    個人情報を売ったということが事実であれば、価格コムなどが自分らで勝手にいっている
    「流出した情報が悪用されたという明らかな事実は現在のところ確認いたしておりません。」
    っていうのは会社側の自己保身のみのリップサービスでしかなく、裏で確実に悪用されていくんだろうな・・・ようは確認さえできずに使われていくと。
    まぁ、誰もがわかっていたとは思うけど、改めて認識したっていう感じでしょうか?

    やっぱり、盗まれた情報はもう消せない。
    • by Anonymous Coward on 2005年07月08日 9時50分 (#764499)
      意図的に過少報告したのか、それとも自分らが受けた被害を
      把握することすらできていなかったのかわからないですが、
      カカクコムが2万5千件と発表していた情報漏洩被害よりも
      実際は数万件多い9万件が盗まれ、さらに悪用までされていた
      ということになります。
      また売却済みであることも考えると、今後も悪用される可能性が
      非常に高いといえます。

      さらに、不正アクセス禁止法で取り締まるための最低限必要な
      アクセス制限すらなかったために、同法での立件は難しいと
      警視庁が発表していますね。
      つまり、警察としてはカカクコムは不正アクセスの被害者とは
      なりえないと判断したに等しい。

      こうなるとカカクコムが言っているように被害者だから
      賠償責任はないという主張は成り立たないでしょう。
      幇助や共犯というわけではないでしょうが、重大な過失があった
      とは判断できると思います。

      侵入を受け、盗まれてしまった事実は消すことはできません。
      カカクコムの抱える課題は、賠償を行うか、行わないのか
      ではなく、被害者への真摯な対応をいかに行うかだったのです。

      いまとなってはカカクコムは「不正アクセス禁止法で裁けない
      ほどアクセス制御を行っておらず被害を受けた責任がある。
      しかしそれを隠すために、警察が捜査中であることと類似犯を
      防ぐためと理由をつけ、自らは被害者であり責任はないと
      発表した」という状況になっています。

      おそらく私も盗まれた9万件の中に入っているはずですが、
      被害者としては500円やそこらのはした賠償金が欲しいのではなく
      誠意ある謝罪と反省が示されれば許さないことはないと思います。

      丁寧な文章で謝罪文を出しても、内容は自己弁護の責任転嫁
      だったり、どのように問題を改善したのか不透明な発表を
      行うだけでは誠意ある謝罪と反省とはいえません。
      親コメント
    • Re:やっぱりね (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2005年07月08日 9時27分 (#764486)
      話題になったカカクコムのアレより前にこの留学生が侵入してたっぽいって話でしょ。
      つまり、この留学生の件は入られた事すら認識していなかったので、
      リップサービスではなく、「何も確認していない」と言う事。
      新たに恥ずかしい事実が明らかになっただけです。

      でも、カカクコム側にしてみれば侵入者を同一視して「終わった事」にしたいだろうね。
      カカクコムがどの様なミスリードを行うか、それにマスメディアは加担するかどうか、
      まだまだ見所はあると思います。
      親コメント
    • 本人の意志に反して売買された時点で立派な「悪用」だと思う。
      --
      wild wild computing
      親コメント
    • by naruaki (2658) on 2005年07月08日 12時44分 (#764598) 日記
      流出先のトレーサビリティの為に、RFID タグ いや、社長、ならびに社員一式の情報を入れておけばいいのに。
      親コメント
      • by ken-1 (4041) on 2005年07月08日 13時09分 (#764614)
        電子スカシ的なダミーデータを挿入しておくというのはどうでしょうか。
        アクセスするたびに変わるダミーデータをリストの中に紛れ込ませておけば、
        後で「どのアクセスで流出したデータなのか」がわかります。

        まあ、複数の経路で流出したデータどうしを照合すれば、どれが
        ダミーデータなのかはわかってしまうし、いつ流出したかがわかって
        ありがたいのかどうかもよく知りませんが。
        親コメント
  • by bku (27778) on 2005年07月08日 9時25分 (#764485)
    ついたのでしょうか?記事を読む限り「ハイテク犯罪対策総合センターの調べでは」

    | 郁容疑者は3月15~17日、自宅のパソコンからいったん米国やフィリピ
    | ンにあるサーバーを経由して、クラブツーリズムが管理・運営するサーバー
    | に約19万回にわたって不正に侵入。

    とありますが、どうもログ解析やサーバサイドから追い詰めたようでもないよ
    うな。販売ルートから割り出し、容疑者の PC の解析からと読むのは無理スジ
    ですか?

    # 「ハイテク犯罪対策総合センター」の仕事は容疑者の PC を調べること
    # そのくらいの能力はある、そのくらいの能力しかない
  • 名誉毀損だ! (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2005年07月08日 11時02分 (#764553)
    この留学生が逮捕された件で、NHKでは価格.comの映像を出した上で、
    「セキュリティ対策の不十分なサイトを標的にした」って意味のセリフを
    連呼していたのだが、名誉毀損で訴えてくれないかなぁ?
    最高のセキュリティだったのなら。w
  •  盗人が逮捕できたのなら、故買屋もわかるはず。そちら方面の悪質業者にも捜査の手が伸びることを期待したいですね。
     違法な手段で手にいれた個人情報を売りさばくルートをつぶしてしまうことがこのての犯罪を抑止する一番の方法ではないかと。
    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...