2005年夏の流行よ

http://internet.watch.impress.co.jp/cda/news/2005/08/09/8742.html
http://www.itmedia.co.jp/enterprise/articles/0508/09/news074.html
静岡新聞社さんが情報漏えいしたってお話よ。詳細は記事でも読んで頂戴。

何が笑えるってここが一番だわ。


http://www.itmedia.co.jp/enterprise/articles/0508/09/news074.html より
静岡新聞社は「不正アクセスが発生した当時も、ファイアウォールやセキュリティ修正プログラムなどは適用していた。しかし、SQLインジェクションなどの一部技術者が注目していた新しい攻撃手法についての対策には問題があった」とコメント。
やだぁ。SQLインジェクションって「一部技術者が注目していた新しい攻撃手法」だったのね?
やっぱりこの夏流行のクラッシュ手法だわね。次はどんな最先端のサイトがこの流行に乗っていくのかしら?
それ以外の部分をみても

http://www.itmedia.co.jp/enterprise/articles/0508/09/news074.html より
流出したのは、電子メールアドレスだけのもの1万9111件分、住所、氏名、性別、生年、電話番号を含むものが2万1846件分。
ですもの。spamにせよDMにせよ、情報には事欠かない感じだわね。

老舗の貫禄ね?

http://itpro.nikkeibp.co.jp/free/NPC/NEWS/20050808/166035/
で、楽天さんの素敵なお話につながっていくの。
とりあえず


http://itpro.nikkeibp.co.jp/free/NPC/NEWS/20050808/166035/ より
8月6日、3万6000件を超える顧客データの外部流出が明らかになった楽天で、この6、7月の2カ月だけで38件もの不正アクセスを受けていた可能性が高いことが本誌の取材で明らかになった。
ってのがすごいわねぇ。だって、彼らはず〜っと


http://itpro.nikkeibp.co.jp/free/NPC/NEWS/20050808/166035/ より
楽天では一連の顧客データ流出について「楽天内部でデータをダウンロードした痕跡はない」と説明してきた
はずよ?
それが実際には美しくも漏れ出でる状況に晒されているわ?


http://itpro.nikkeibp.co.jp/free/NPC/NEWS/20050808/166035/ より
楽天では、加盟店向けシステムにアクセスする時と、購入者データをダウンロードする時の2回、IDとパスワードの入力を求めるシステムを採用していた。今回、確認したアクセス記録はデータをダウンロードする際に使用するサーバーのもの。
所属先が不明の端末からのアクセスは、加盟店のIDとパスワードを利用して行われたもので、6月で28回、7月で10回の計38回、累計で3306件のデータをダウンロードしていた。関係者によると、この件について楽天は、不正アクセスを受けた可能性が非常に高いと説明しているという。
豪華よねぇ。で、データ項目の詳細が書かれていないあたりがまた恐怖心を嫌がおうにも高まらせてくれてよ?
「加盟店のIDとパスワードを利用して行われた」行為ですもの…ちょっとドキドキよね?
でまぁ

http://itpro.nikkeibp.co.jp/free/NPC/NEWS/20050808/166035/ より
本誌の取材に対し、楽天広報部は「警察の捜査中なのでコメントできない」としている。
ってあたりが微妙よね。もしこれが脆弱性によるもので且つそれが判明してクラックであることが確定してなお同じ事を言うのであれば…もう一押しでカカクメソッド行きよ?
まぁ、やっぱりアレって便利だったのね。あの、銭に敏い楽天様がご利用になっているんですもの。


総括して…個人情報保護法が出てきてからむしろ流出が増えてきてないかしら? もちろん「露見する数が増えただけ」って気もするんですけれども。
こうなると、せめても「今までは隠蔽していたのが現在は露見し、今後はそれが"露見したために"縮小傾向にある」っていう流れになっていただきたいものなんですけれども…

隠蔽したいお年頃なのかしら?

http://www.geocities.jp/scope_mondai/
セキュリティホールmemoさま経由 ( http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/08.html#20050810_Scope )。
焼きたてのCookieのような素敵な香ばしさが漂っているお話よ。
株式会社 プログラマーズファクトリ様がScopeという「携帯用ブラウザ」を作成されたの。


http://www.programmer.co.jp/scope.shtml より
「Scope」は,パソコンユーザ向けに作成されたコンテンツを閲覧可能な携帯向けインターネットブラウザです.

インターネットブラウザ「Scope」は,プログラマーズファクトリが開発した Spirit テクノロジー を応用することにより実現しています.

「Scope」は,わずか 30 KB という極めて小さなサイズのアプリケーションです.このため,アプリケーションのサイズに制限のある携帯電話に対して非常に広範囲に渡るサービスの提供を可能としました.
また,「Scope」は携帯の表示画面サイズに最適なレイアウト処理を行っているため,横スクロールなしに上下スクロールのみでサイトの閲覧が可能です.
特に,表示画面サイズに制限のある携帯電話機において最適なレイアウトを実現するために考案した「テーブルの自動折り返し機能」は,インターネットブラウザでは世界で初めて実現した非常に革新的な機能です.

ですって。そういえば確かニュースで見たわねぇ…的なもので。あたし的には「携帯でフルブラウザとかいわれても…」って感じだったので正直さほど興味は持っていませんでしたの。Docomoのみですし。
とはいえ、無償でのダウンロードが出来るそうなので、まぁ使う方は多いんでしょうねぇ…って程度よ。
ところが、これには大きな落とし穴が隠されていたらしいの。


http://www.geocities.jp/scope_mondai/ より
このScopeの機能の一部である「PCメール送受信機能」を使用して、別のページに移動するとリファラ内に「ユーザー名」「メールサーバー名」「パスワード」の情報が含まれ、漏れてしまうという問題が発生した。(現在修正されている)
…ごめんなさい。落とし穴じゃないわね。落とし穴ってもうちょっと「慎ましいサイズ」だと思うんですもの。
そうねぇ…落とし海溝ってくらいのサイズかしら?
しかも

http://www.geocities.jp/scope_mondai/ より
プログラマーズファクトリはこの事実を1ヶ月以上ユーザーに公表せず、またこの問題を他ユーザーに伝えようとするユーザーに対して「不快なユーザの言動」として、アクセス制限を加える、書き込みを削除するなどして、この事実を隠蔽しようとしている。
さらに「各所からの取材」「ユーザーの問い合わせ」に対しても未だに回答する様子がない。
ですって。まぁ隠蔽は基本だとは思うんですけれども…最近は「愚者の基本」になってる感が否めないのは気のせいかしら?


そうねぇ。それ以降の流れは先方のサイトをご覧頂くとして。
すこぅしばかり情報の流れの悪い、もうちょっと昔であれば、正直なところ「正しい」対応だったと思うの。都合の悪いことを「隠し通す」ことで「なかったことにする」。大変便利な手法よ。今でも中国では基本中の基本として取り扱われているわ。
日本でも、もうちょっと日本人が慎み深いころであれば、「見て見ぬふり」とか「袖の下」とか「魚心あれば水心」とか、はたまた「漁夫の利」とか「火のないところに水煙」とか*1、色々と「奥ゆかしい」文化ってものが通用したと思うの。
ただ、今はあまりよろしくない意味でアメリカナイズされているわ。情報はまさに光の速さで流れ*2、その情報自体も赤裸々な、あからさまなものになってきてしまっているの。
そんな状況だと隠蔽は仕切れなくて、むしろ「隠蔽した」という情報までが追加されて流れてしまうの。
つまりは「より一層不利な情報を付加価値として添付している」状況になってしまうのよね。


愚かだわぁ、って思うの。でも、きっと必死なのね。そんな単純なことにすら頭が回らないほどに。
そうねぇ。いっそクレームつけてきたユーザ達を「業務威力妨害」とかで訴えてみてはいかがかしら? きっと社名は広く日本に響き渡ってよ。
ついでに愚かさも響き渡るんでしょうけれども。

*1:なんかちがってきてないかしら?

*2:実際には電気抵抗とかあるからぜんぜん遅いのよね