“ヨン様”のHPが閉鎖=個人情報流出の可能性も
韓国の人気俳優、“ヨン様”こと、ペ・ヨンジュンさん(32)の日本の公式ホームページに、ぺさんやファンを中傷する書き込みが集中、日本でのマネジメント事務所がページを閉鎖したことが25日、分かった。個人情報が流出した可能性もあるという。
ペさんの事務所IMX(東京都渋谷区)によると、23日午後から中傷の書き込みや、サーバーに負荷がかかるようなアクセスが集中した。調べたところ、ホームページを見るために必要な登録済みのIDなどを別人が使用していることが分かり、同社は個人情報が流出していると判断。24日午前2時にホームページを閉鎖した。
同社は個人情報の流出は最大で1000人程度とみている。「万全の対策が講じられるまで公開を中断する」とした上で、「セキュリティー対策が完全でなかったことに対し、利用者に深くおわびしたい」と話している。再開のめどは立っていないという。
IMX発表は
1024人のデータが12/3以降に変更されたと言うもの。
これはファンが事件後慌ててPWを変えた可能性がある。
というより、クラッカーがデータを改ざんしているのは(少なくとも私は)見ていない。
IMX発表を「1000人のデータが流出した」と共同が勘違いした可能性が高い。
もっともセキュリティーはあって無いようなものだったので、以前から覗いていた者が居た可能性はある。
IMX発表の公式発表
<被害状況>
今回の被害状況を調査した結果、個人情報の流出、書換等の被害を受けた方は12/25(土)現在、これまでの調査で把握した限りでは最大で1024名程度と思われます。データベース内の全てのお客様の個人情報が流出したということではございません。(「最大で1024名」は、12月3日よりサイト閉鎖時までの間で何らかの個人情報が、変更された数です。この数字の中には、ユーザ自身による変更も含まれます)
今回のことにより流出した個人情報は、会員登録時にご入力いただいた氏名、住所、電話番号、メールアドレス、パスワード、性別、生年月日です。個人情報が流出した場合の具体的な被害例は、個人情報を他のサイトで無断公開される、パスワードを改ざんされるなどが考えられます。
http://www.yongjoon.jp/bae_bbs/start/board.asp?pagemode=list&m_code=start&m_part=baeyongjoon
気をつけないといけないのは、個人情報を変更しないで、こっそり情報だけを抜いて行ったクラッカーが存在するかも知れないこと。
考えうる被害は、流出した個人情報が架空請求業者などに流れること。
(実は以前から、ここに登録すると
変なメールが来るとか、掲示板で韓国人と話していると
住所を言い当てられたりという話しはあった)
↓リンク切れてます。
http://www.yongjoon.jp/bae_bbs/start/board.asp?pagemode=view&m_part=baeyongjoon&m_code=start&gotopage=&strsearch=&searchpart1=&searchpart2=&searchpart3=&searchpart4=&searchpart5=&m_idx=33771
>昨日久しぶりに韓国公式へ書き込みをしました。
(略)
>でもその中に、「どうして解るのかしら」と言うような、私自身に関しての事が 書かれているもの
>がありました。
>不思議に思って他の所をいろいろ見てみると、なんと驚いた事に7月30日まで非公開の知らせが
>なければ個人情報を全て公開するというようなことが書かれているではありませんか!
>「まさか!」とは思いながら恐る恐る指定の場所をクリックすると
>住所から電話番号まで全ての私の個人情報が・・・・。
この会社も無責任だなあ。ちゃんと最悪の可能性を教えるべきじゃないの?
ところでクラッカーと書いたけれど(まあクラッキングの一種なんだけど)この場合、不正アクセス禁止法で裁くのは無理そう。
不正アクセス禁止法
http://clubpc.vis.ne.jp/ss/s7.html
パスワード等で保護された領域に、
権限のないものが勝手にアクセスするのが不正アクセスとなるわけです。
逆手に取ると、制限されていない領域においては不正アクセスとはなりえないということです。
先日のTBCなどの個人情報漏洩事件では、単なるパーミッションの設定ミスで誰でも
顧客のデータにアクセス可能になっていたため、
この不正アクセス禁止法は適用されませんでした。
で、肝心のIMXはというと
http://www.geocities.jp/imx_sec/
パスワード管理されていない。(クッキーに掲示板に書かれているIDを入れるだけで個人情報が見れた。PWは不要。これじゃあパスワードの意味無し。)
この説明では分からない人の為に噛み砕いて説明します。
ネットをしていれば、クッキーという言葉を聞いたことがあるでしょう。
これは、ブラウザについているメモのようなもの。
例えばExciteにログインする時、勝手にIDとパスワードを入れてくれる。
これはクッキーに「ExciteにID:+++++ PASS:******でログインしました。」とメモってあるから。このメモはそれぞれのPCに保存されています。
で、公式サイトのシステムでは、クッキーに「あるIDでログインした」と書いてあれば入れてしまうようになっていました。登録IDなら何でもOK。パスワードは不要。
そこで侵入者は掲示板に書かれているIDをクッキーに書き込むだけで、普通にログインできてしまえたのです。ログインしてしまえば、個人情報変更ページから情報を得ることも簡単。
レスをした人の個人情報が晒されたのは、この所為です。
つまり掲示板に書き込みさえしなければ個人情報を覗かれることは無かった。
そして前述したように、この方法に以前から気が付いていた者がいる可能性は高い。
結論:掲示板に書き込んだことがある人全て、個人情報が流れている可能性がある。
簡単に言うと、もともとパスワード管理されていない場合は
不正アクセスとみなされない。
故に不正アクセスで訴えることが出来ない。
今回公式が閉鎖したのは、荒し等の攻撃によるものではなく、
管理者側の判断で勝手に閉鎖したことになり、閉鎖による損害請求は出来ない。
が、個人情報が流出したファンがIMXに対して訴えることは出来る。
□個人情報の保護に関する法律(平成十五年法律第五十七号)
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防
止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
けどそんなことするかな?
