「Genuine」のMISが2度目の顧客名簿漏洩 34
ストーリー by yoosee
顧客情報は顧客のもの 部門より
顧客情報は顧客のもの 部門より
Anonymous Coward曰く、"3月24日付でMISのサイトに「お詫び」と題する告知が掲載されている。これによると、2月16日に「事象が発生」し、2月16日午後10時05分に防止措置をとったとのこと。MISは昨年12月にも顧客名簿をWebで公開状態とする事故を起こしており(毎日新聞の記事)、スラッシュドットの記事「MISの「Genuine」サービス休止」の1つ目のコメントにMISからユーザに送られたお詫びメールの内容が紹介されている。
今回の告知は12月の事故とは別件だ。2月16日だったか15日ごろだったか忘れたが、たまたまMISのサイトを訪れた私が、顧客名簿が再び丸見えになっているのに気付き、ある方法で連絡した。そのため対策されたものだと思われる。
漏れ方は12月のときとまったく同じだった。つまり、http://www.miserv.net/miserv-new/renew/kaiyaku/kaiyaku.csv というアドレスにそのまま名簿が置かれていた(現在は存在しない)。MISの「お詫び」には、「専門的知識を有する第三者からは閲覧可能な状況にありました」と書かれているが、専門知識などいらないかった。「弊社と致しましては、個人情報管理には万全を期して参りましたが」というが、2度漏らしたのはこの種の事故では初ではないだろうか。"
誠意あるお詫び (スコア:3, 興味深い)
明らかに事故なのに、わざわざ日常使わない「事象」という言葉を選んでいるし、 セキュリティの欠片もないところに置いていたくせに、 「強固なセキュリティではない場所に保管する状態」などという、 否定形の文を使って暗に少しはセキュリティがあったかのように見せようとしているし、 「専門的知識を有する第三者からは」と、 あたかもハッカーの仕業かのように誤解させようとしているし、 「信頼回復に向け一層努力して参ります」と、 これまでも努力していたかのようなことを言っています。
Re:誠意あるお詫び (スコア:1)
ちょっと笑えないくらいそっくりな印象だ(汗
Re:誠意あるお詫び (スコア:0)
漏洩を認めない会社 [edge.co.jp]もあることですし(参考 [2ch.net])
原発事故と一緒ですね (スコア:0)
Re:原発事故と一緒ですね (スコア:2, 興味深い)
原子力発電所で発生した問題は、0~7までの8段階に分類されていて、そのうち4~7のことを「事故」、1~3を「異常な事象」と呼ぶ。(0は「尺度以下」)
電力会社が原発の問題で「事象」を使ったのは、事故という印象を与えないようにする、というより、役所への報告の癖みたいなもんで、つい専門用語が出てしまったんだろう。
電力会社でもないのに「事象」というのは、事故という印象を与えないためにしてるのかもしれないけど :D
Re:原発事故と一緒ですね (スコア:2, 興味深い)
- レベル
- 基準
- 実際の事故・事象
- 7: 深刻な事故
- 重大な個人情報の外部放出(健康状態・病歴・障害・容姿、
思想・信条・信教・信仰、犯罪歴、学歴・職歴、成績・評価、財産・収入等
のセンシティブ情報、
および、クレジットカード番号、暗証番号の外部放出)
-
東京ビューティセンター身体情報等漏洩事故 [zakzak.co.jp](2002年)
- 6: 大事故
- 個人情報のかなりの外部放出(住所、電話番号、性別、誕生日等価で
数万人分相当以上の個人情報の外部放出)
-
YKKアーキテクチュラルプロダクツ4万5千人漏洩事故 [mainichi.co.jp](2002年)
- 5: 所外へリスクを伴う事故
- 個人情報の限定的な外部放出(住所、電話番号、性別、誕生日等価で
数十人分相当以上の個人情報の外部放出)
- 日
本大学通信講座入学願書請求者漏洩事故 [nikkeibp.co.jp](2002年)、
名古屋国税局190人分漏洩事故 [mainichi.co.jp](2002年)
- 4: 所外への大きなリスクを伴わない事故
- 少量の個人情報の外部放出(少人数の誤表示等)
-
旅の窓口2名分漏洩事故 [netsecurity.ne.jp]
- 3: 重大な異常事象
- メールアドレスの公衆送信、
バッファオバーフロー脆弱性による所内の重大な汚染
- 神戸電鉄
Cc:送信事象 [mainichi.co.jp]
- 2: 異常事象
- クロスサイトスクリプティング脆弱性等による所内のかなりの汚染
-
- 1: 逸脱
-
-
- 0+: 安全上重要ではないが、安全性に影響を与え得る事象
-
-
- 0-: 安全上重要ではなく、安全性に影響を与えない事象
-
-
途中で挫折したのでACRe:原発事故と一緒ですね (スコア:0)
ネタニマジレスカコワルイ>おいら
Re:原発事故と一緒ですね (スコア:0)
さて、今回の対策はどっちだろう? (スコア:3, おもしろおかしい)
(2)2度あることは3度ある。もう1回くらいやりそう。
さてどっちでしょう。
----------------------------------------
You can't always get what you want...
Re:さて、今回の対策はどっちだろう? (スコア:2, おもしろおかしい)
Re:さて、今回の対策はどっちだろう? (スコア:0)
はあ(マイナスモデよろしく) (スコア:0)
google で 1990 件も引っかかるくらいだから、間違って
覚えてる人も多いのかな。
意味まで取り違えているACさんまでいるし。
Re:さて、今回の対策はどっちだろう? (スコア:0)
ついでに部門名も 「二度あることは三度ある部門」にした方がいいですね。
Re:さて、今回の対策はどっちだろう? (スコア:0)
お粗末です (スコア:1)
去年の今頃は、如何にGenuine以外の無線LANが危険かをまるで脅しのように宣伝していたけど……。事象発生から顧客への告知のタイミングのずれも含め、全くお粗末としか言いようがないです。
Re:お粗末です (スコア:0)
認証が公開鍵暗号方式だと管理センターからの大量の秘密の漏洩なんていうことが問題にならないのだけど(漏れた所で公開鍵だから安全)、「認証に公開鍵暗号方式を使うのはバカのやること」とかいってGenuineのワン
発生致しました? (スコア:1, すばらしい洞察)
2/16に発生
↓
2/16に防止措置完了
↓
2/17にインターネット上から削除
という風に読めるのですが、
正確に書くなら、
「解約されたお客様情報を見ることが可能となっている事が確認されました」
だぁね。
いつから丸見えだったのか判らないのに、ああいう書き方したら、
発生した日のうちに予防措置とったふうに読めますよね。
大した問題じゃないふうに読めるよう校正で努力するのは判るが、意味違ってるし。。。
たぶん (スコア:1, すばらしい洞察)
そうそうたる役員+顧問 (スコア:0)
Re: そうそうたる役員+顧問 (スコア:1)
否定がなかったら合意ですかね :-)
# あらら、平原先生のお名前も...
Re: そうそうたる役員+顧問 (スコア:1)
というか、貸すのはよくある事とはいえ、もうすこし自分の名前がどう扱われるか、それによって一般人にあたえる影響とか考えた方がいいんじゃないでしょうかね。
コメントの一つも出さないつうのは、名前貸しとはいえ・・・ちょっとどうかと思う
しかし、12月の件以来、ここの会社の信用度はがた落ちっすね。
今更、信頼回復もあったもんじゃない。
#しかし、どうしてhttpd内にCVSなんて置いちゃうんでしょうか?
#常識的な管理者なら、もうすこし考えると思うんですけど・・・
Re: そうそうたる役員+顧問 (スコア:1)
つい半年前にもCEATEC JAPANでこんな [impress.co.jp]宣伝もしてたぐらいですし。
Re: そうそうたる役員+顧問 (スコア:1, おもしろおかしい)
Re: そうそうたる役員+顧問 (スコア:0)
>役員として商法上の責任を負う立場にありますから、やや事情は異なるのではないかと。
最近はYBBの手先としてTTCなどで忙しいようですから
それどころではないのでしょう:p
重箱 (スコア:0)
>#常識的な管理者なら、もうすこし考えると思うんですけど・・・
s/httpd内/(適切な用語)/
で置き換えたほうがいいですよ。言いたいことは分かるんだが・・・
Re:重箱 (スコア:0)
Re:重箱 (スコア:0)
s/CVS/重要なデータファイル/
なにもCSVに限った話でもないでしょうし。
Re: そうそうたる役員+顧問 (スコア:0)
今回の件についてはどうかは知らない。
Re: そうそうたる役員+顧問 (スコア:0)
(えらい人から「これだけ渡されてもどうにもなりまへんがな」状態なのでAC)
プライバシーポリシー (スコア:0)
プライバシーポリシーの表示って意味あるんですかね。
Re:プライバシーポリシー (スコア:1)
情報流出が発生した場合は何をするのか書いてないし。
もーた VS. ひろみつ キボンヌ (スコア:0)
解説は山形。そこに池田も乱入。ここでも場外バトル発生!
...なんてのを見たいと思わんか?
漏れ漏れ (スコア:0)
名前とか住所が漏れるのは別にいいんだけど、MISに入会していたという過去がばれるのが恥かしい。
なんちて。