Internet Watch logo
記事検索
最新ニュース

ACCS、Webサイトにおける個人情報漏えい問題で調査報告書


ASKACCSは現在閉鎖中で、「www.askaccs.ne.jp」には11月以降、今回の事故に関する情報を掲載。すでに12月26日には事故の経緯が報告されていた
 コンピュータソフトウェア著作権協会(ACCS)の運営するWebサイト「著作権・プライバシー相談室~ASKACCS」に個人情報の漏えいにつながるセキュリティホールがあった問題に関して、弁護士やセキュリティアナリストなどからなる事故調査委員会の報告書が22日、同サイト上で公開された。流出範囲について現時点までにわかった内容がまとめられているほか、事故の原因としてACCSのセキュリティ検証や個人情報管理の体制不備を指摘している。

 この問題は2003年11月9日、ASKACCSの運営を委託している会社に、ある人物からセキュリティホールを指摘するメールが届いたことで発覚した。ASKACCSで相談を受け付けるフォームから送信された内容や氏名、住所、職業などの個人情報が外部から入手できる状態にあったという。ACCSではすぐにASKACCSのCGIプログラムを閉鎖したが、問題を指摘してきた人物はすでにASKACCSから個人情報を取得していた。しかもこのCGIプログラムは、ASKACCSを開設した2000年4月から同じ設定で運用されていたという。個人情報が拡散してしまった可能性があることから、その範囲の特定が急がれていた。

 報告書では、個人情報が流出した範囲について、「現時点において、ASKACCSから流出したと思われる個人情報がインターネット等で流通している事実は一切確認されていない」と結論している。ASKACCSのアクセスログを解析した結果、2003年10月6日以降4回にわたって外部から個人情報へのアクセスがあったことを確認できたが、いずれもセキュリティホールを通知してきた人物本人からのものであり、この人物はこのデータを削除したことを確約したという。

 ただし、10月6日より前についてはアクセスログが保存されておらず、「同様の手口により個人情報が取得されていた可能性は否定できない」。また、この人物は11月8日に開催されたセキュリティ関連のイベントにおいてASKACCSのセキュリティホールを指摘する発表を行なっており、取得した個人情報のうちの4人分をプレゼンテーション資料に掲載。イベント会場で参加者向けにこの資料をダウンロード公開しており、実際にダウンロードされた回数は不明だ。

 今回の問題の原因について報告書では、CGIプログラムのセキュリティホールを「技術的な原因」とする一方で、1)セキュリティ面に対するACCSの検証が不十分だったこと、2)ACCSが必要以上の個人情報を取得していたこと──の2点を「本質的な原因」と指摘。「今後のホームページの運営に際しては、情報の取り扱いに関する啓発活動を行なってきたACCSの社会的責任を再度自覚し、セキュリティ対策に十分に配慮した対策を実施すべきである」とACCSに対して提言している。


関連情報

URL
  ASKACCS個人情報流出事故調査委員会による調査報告書
  http://www.askaccs.ne.jp/

ACCSのWebサイトに個人情報の漏えいにつながるセキュリティホール(2003/11/12)


( 永沢 茂 )
2004/01/23 15:08

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.