NTT西日本のWebサイトで7000人の顧客情報が閲覧可能に 70
ストーリー by yoosee
やっちまってる 部門より
やっちまってる 部門より
seraen曰く、"日経や朝日新聞の記事によると、NTT西日本の顧客約7000人分の個人情報が、インターネット上でだれでも閲覧可能な状態に、約3ヵ月なっていたそうです。この顧客情報は、NTT西日本の大阪支店が8月から、大阪府と和歌山県内の非対称デジタル加入者線(ADSL)や光ファイバーの契約者を対象にインターネットの利用状況などをネット上で調査。顧客の氏名、住所、電話番号やメールアドレスなどの情報を集計していたもので、アドレスを打ち込むことで閲覧が可能で、またパスワード等の保護は一切なく、誰でも見ることが出来たそうです。
同様の事件は、今までもあったのですが、なかなか教訓は活かされないことは、個人情報に対する意識の低さを表しているのでしょうか。こういった大企業では、プライバシーマークの取得やセキュリティ保険に加入などしているでしょうけど、あまり役に立っていないものなのでしょうか。"
プライバシーマークのない企業は信用ならん (スコア:3, 参考になる)
プライバシーマークを取得していない企業だからこうなるということで、プライバシーマークの宣伝に使えるんじゃないでしょうか。
Re:プライバシーマークのない企業は信用ならん (スコア:0)
このような事がおおい、というか目立つきがするので、
信用してません。>プライバシーマーク
Re:プライバシーマークのない企業は信用ならん (スコア:0)
プライバシーマークを取得したところから個人情報が漏れればニュースになるし、穴を探す方もプライバシーマークがあった方が燃えるし。
プライバシーマークは関係無いかも (スコア:0)
Re:プライバシーマークは関係無いかも (スコア:0)
Re:プライバシーマークのない企業は信用ならん (スコア:0)
認定を取り消されると取り消し事業者としてサイト上で公開され、2年間は再取得できません。
(今は再取得したようで認定事業者にリストされています。で
モデレーション (スコア:0, 余計なもの)
論理学 (スコア:0)
取得している企業が信用に足りるとは限らない。
Re:論理学 (スコア:1)
/* Kachou Utumi
I'm Not Rich... */
Re:論理学 (スコア:1)
恐ろしいのは、信用できるかできないかを判断する私のような素人が一番信用できない事だったり。
李 露星
Re:論理学 (スコア:2, すばらしい洞察)
>私のような素人が一番信用できない事
という認識を本人が持っているならまだ良いと思うのです。
プライバシーマークを取得したことで、
「これでウチの情報保護は万全っ!」と自信を持ってしまう企業が
少なくないように思えることのほうが、
はげしく恐ろしいと思うのです。
Re:論理学 (スコア:0)
話す話は「どうすればプライバシーが守られるか」じゃなくて、「どうすれば漏れても責任を問われないか」という話ばっかり。
考えているのは「これでウチの情報保護(問題での責任対策)は万全っ!」ってことでしょ。
Re:論理学 (スコア:0)
ISMSは一見プライバシーマークと異なるようにも見えるけど、
個人情報保護もその中に含むからなぁ。
というかISMSがあればプライバシーマークなんて要らないような気
Re:論理学 (スコア:0)
たとえば?
個人情報の取り扱い規則をあらかじめ定めておけ。
下請けに個人情報を渡す際にこれこれこういうことを指示すること。
使い終わった媒体からデータを消去した旨の記録を取っておけ。
とか?
Re:論理学 (スコア:0)
>個人情報保護もその中に含むからなぁ。
それはISMSかPマークに関する理解が欠けてます。
両者で重複する部分もありますが、重複しない部分もあり
Re:論理学 (スコア:0)
Re:論理学 (スコア:1)
PマークもISMSもどっちもどっちな気がするよ。
手順を定めても現実業務と乖離が大きすぎて守られないのは必至だし、
サーバの技術論なんてどこにも触れられてないから、
タコが穴だらけのサーバを構築するのを止められない。
でも、これだけ毎回大騒ぎになってるのに、
セキュリティ技術の体系化されないことといったら。
いや、いろんな環境や要求があるし簡単じゃないことは分かってるけど・・・
#えーと、タコの一人なので自分でやれなんて言わないでください。
コンサルの価値が下がるから許さんというのも御容赦。
Re:論理学 (スコア:1)
手順と現実との乖離って、より高いレベルでワークフローそのものを見直す必要があるのにそれがうちのセクションじゃ決められない、とかそういう問題だと思いませんか?
# 関係ないけど ITSS もうまくいくんだかいかないんだか生暖かく期待中
Re:論理学 (スコア:1)
それが正しいかどうかは全然関係ない。
Re:論理学 (スコア:1)
ならば対偶になるんですけどね.
11/16日付で、NTT西日本 大阪支店からアナウンスが (スコア:3, おもしろおかしい)
http://www.ntt-west.co.jp/osaka/news/2004/041116/happyobun.doc
しかし、お詫び文書のファイル名に"Happy"とはけしからん:-)
-------- tear straight across --------
マスコミは不正アクセス行為して確認? (スコア:2, すばらしい洞察)
記事中の、
>実際に外部からのアクセスがあったかは不明。
って、まったくログ残していないのか?それはそれで(ry
Re:マスコミは不正アクセス行為して確認? (スコア:1)
他人のID、パスワードを不正に使って
認証を通り抜ける必要(?)があるはずです。
今回の件では、パスワードによる保護自体が
掛かっていないということなので、
不正アクセスには当たらないでしょう。
基本的には、相手がネット上にポーンとおいておいたリソースに
普通にアクセスしたという扱いにしかならないと思います。
# まあ、法律で問題じゃなくても、
# なんか別の次元で問題はあるよなぁ、とは思うのですけれど…
Re:マスコミは不正アクセス行為して確認? (スコア:0)
と裁判所が判断したら、これもまた不正アクセス。
Re:マスコミは不正アクセス行為して確認? (スコア:1)
> 同支店の調査によると、外部からの集計・閲覧用URLへのアクセスは、
> 11月6日および10日から12日にかけて合計206回確認されたとしている。
なのでログは残してあった模様。また、
> 今回に限ってパスワードもかけられていなかったため、
> 外部からアクセスされてしまった
らしいです。
--
そして市が栄えた。
Re:マスコミは不正アクセス行為して確認? (スコア:0)
朝日新聞もアクセスしたということで、office氏と同じく
訴えられることになります。
httpの脆弱性をついたものであり、不正アク(ry
んなわきゃないw
Re:マスコミは不正アクセス行為して確認? (スコア:0)
個人で指摘して相手にされなかったら
次は権力を持ってるマスコミなどを通して、っていうのが普通の人の発想だと思う。
なんでいきなり講演会みたいなところで、手口を発表しちゃったんだろうね。
やっぱ目立ちたかったんだろうか。
Re:マスコミは不正アクセス行為して確認? (スコア:1, 興味深い)
持ってったけど、誰も問題を理解できなかったんですよ。
# いやまじで
所詮飾り (スコア:1, おもしろおかしい)
Re:所詮飾り (スコア:2, すばらしい洞察)
Your 金銭的 potential. Our passion - Micro$oft
Tsukitomo(月友)
Re:所詮飾り (スコア:1)
飾りさえ売ってもらえないところも (スコア:1, おもしろおかしい)
> 金もありません。
安心しろ。取れねぇから。
(取ろうと思う前からあの要件を満たしてる会社はまずない。)
こないだアンケート契約したばっかりだったが、 (スコア:0)
間一髪。
何が貰えるの (スコア:0)
NTTグループ (スコア:0)
全て考慮されていません。
上の人も下の人も初心者に毛が生えたくらいの知識しかないです(開発部署を除く)
以上の論理で動いてます、実話です。
Re:NTTグループ (スコア:1)
そういうのって、たぶん外から見れば、開発部署も似たようなレベルなんじゃないかな。
「オレたちだけは違う」って思いたい気持ちはわからないでもないけど。
Re:NTTグループ (スコア:0)
いや、むしろそう思ってるお前らが一番遅れてるってのが典型的なパターン。
特に研究とか開発みたいな客前に出ないひきこもり部署は。
Re:NTTグループ (スコア:1)
下まで初心者に毛が生えたようなレベルだとするなら、開発部門だけ
まともっていう可能性は低いんじゃないの?
NTTグループの内部では、まともな部署とそうではない部署があって
区別ができると思っていても、外の基準に当てはめれば目糞と鼻糞の
差くらいしか違わないんじゃないの? っていうこと。
NTTグループみたいに、大きくて、歴史的な経緯から閉鎖的な取引が
多そうなところでは、外の世界の基準や常識に対して鈍感になっている
可能性が高いのではないかと思ったので、「下だけ見て安心してちゃ
だめだよ」って言いたかったんだけど。
Re:NTTグループ (スコア:1, 興味深い)
グループといったときに「NTT」と呼ばれるのは元締めのの持ち株のことなんでしょうか、それとも「東西」のことなんでしょうかね。
レベルの違いはあれど、ちゃんと情報管理が徹底されているとこもあります。
ISMS認証、Pマーク認証取っているところだってあるわけですから。
ところで、情報管理がおろそかなのはむしろ開発部署だと思うのですが…どうでしょうか?
個人情報の第三者委託とかあまり意識していないように思うんだが…
NTTグループ所属なのでAC
物を買い換えれば解決すると思ってるバカ (スコア:0)
Re:物を買い換えれば解決すると思ってるバカ (スコア:1, すばらしい洞察)
---
うちの会社がそうなのでAC
でも情報系の会社がそれでいいのか?!
Re:物を買い換えれば解決すると思ってるバカ (スコア:0)
Re:物を買い換えれば解決すると思ってるバカ (スコア:0)
いつも思うんだけど、クラックされたり情報漏洩したりしたシステムの
開発・運用業者の名前はなんで公表されないんだろう。
今回の件も、詳しく報道されているわけじゃないからわからないけど、
責任の一端はNTTだけじゃなくて、そうした業者にもある可能性は否定できないと思う。
公表されたほうが他の企業が業者を選ぶときにも参
Re:物を買い換えれば解決すると思ってるバカ (スコア:1)
NTT(東・西・コミュニケーションズ)だってSIとしての商売もやってるわけで。
Re:物を買い換えれば解決すると思ってるバカ (スコア:0)
#建設した業者も知りたいなあ。
検査が手抜きな日本の役人も似たようなものでしょ。
決まりきった場所しか調べないからあとの場所は手抜きとか。
Re:物を買い換えれば解決すると思ってるバカ (おふ) (スコア:2, 興味深い)
決まりきった場所しか調べないから
その「決まり切った場所」の検査がやたら細かいところが納入業者にとって頭の痛いところです。やれ第三者の調査報告書の字が間違ってるだとか提出先が違うだとか、本筋とはかけ離れたところにばかりいつも指摘があります。
特に地震や風水害に対する備えが大きく叫ばれている昨今では官公庁に対して調査を強化してほしい旨の要望が多いのですが、「調査強化」が本来意図しているはずの「様々な災害を想定し、現時点で取りうる調査を強化する」ではなく「書面での間違い探しを強化する」になってしまっているのが現状です。
納入業者から見れば官公庁が最終顧客なので、官公庁様が満足する結果を追い求めるべく費用をかけることになるわけですが、本当の意味での安全性については官公庁の評価対象外なので、業者側の良心次第なんですよね。儲けを意識したら(企業なので当然の行動ですが)そのあたりをどうしても軽視してしまいがちです。
Re:物を買い換えれば解決すると思ってるバカ (おふ) (スコア:0)
こうなると、最後の頼りは国民性だよな。
# お役所叩きが大好きな日本人なのでAC
Re:物を買い換えれば解決すると思ってるバカ (おふ) (スコア:1)
あと、字が間違ってるわけではなくても、役所の用語ルールみたいので文句を言われたりします。
「前記」ではだめで「上述」とか。
Re:物を買い換えれば解決すると思ってるバカ (スコア:0)
僕はこの考え、あたっていると思います。
時として斜め上をいく考えを持つ人はいますので。
Re:買い換えて解決します (スコア:1)
「おーい、松島くーん、ポート80にお客様。
とりあえずindex_f.htmlでも出しといてー。」
って事でしょうか。
……あっ、逆か。