新たな情報流出も〜Google検索結果に表示される程の低レベルさ

先日は、今回の件とは直接関係ないものの、非常に低レベルな個人情報漏洩が起こりました。

ソニー、３回目の個人情報流出　サイト上に２５００人分 - MSN産経ニュース

これは、米国の販売子会社が2001年に収集した顧客情報を不適切な形でネットにおいていて漏洩したというもの。ネットでちょうど騒いでいるときに自分も状況を追ってつぶやいたりもしていましたが、日本では以下のようなTwitterでの書き込みから広まっていたようです。

米ソニー、オンラインショップのソースが丸見え？ - NurseAngel の日記

自分が追っていた範囲では、今回の漏洩の発見者は上記の「はせがわようすけ」氏。UTF-8関連でのセキュリティ専門家のようで、各種ネットで記事も投稿されています。

UTF-8.jp

XSS(クロスサイトスクリプティング）と呼ばれるソフトウェア脆弱性を調査する中で、該当ソニー子会社の問題に気が付きTweetしたようです。CGIにアクセスするとコードが直接表示されてしまうなど、あきらかにファイルやディレクトリの管理権限の付け間違えといった超初歩的な脆弱性。このため、Googleのクローリングにもすでに引っかかっていて、サイト名やファイル名で検索するとGoogleの検索結果にファイルの中身（個人情報ごと）が表示されてしまうレベルのものでした。

以前、こうした脆弱性の確認でアクセスしたことで不正アクセス防止法違反で捕まった例が国内であったため、自分はGoogle検索までにとどめました。はせがわ氏も当然そうした事例は把握しており、あくまで脆弱性があることの確認までだったようです。

不可解な「ハッカー情報サイト」起源説

こうした情報がTwitterやネット掲示板で広がっていたのですが、今回の報道ではどれも「ハッカー情報サイトに最初に書かれた」とあります。これが非常に不思議な点です。Twitterやネット掲示板は特にハッカー情報サイトでは無かったと思うのですが。これらの情報がアメリカのどこかのハッカー情報サイトに転載され、米ソニーがそれが出処だと思い込んでいる可能性もあります。アメリカ人がまともに日本の掲示板とか読めない気もするので。

結果的に、なんかまた「ハッカーにソニーが狙われた」「ソニーは被害者」、みたいな反応も見られたりしますが、今回はそんなアタックとかそういうレベルの話でもありません。アクセス権設定とかそのレベルでの話で、Googleにもクロールされているなど昨年あったメッセサンオーの流出事件レベルです。

メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI - スラッシュドット・ジャパン

海外の販売会社ということでソニーの中でもだいぶ末端の組織なのかもしれませんが、今回ばかりは「ハッカーが悪い」とも言えない、セキュリティに対する緩みを露呈した形です。以下もそんな論調ですね。

asahi.com（朝日新聞社）：ソニー「管理緩かった」　個人情報漏れ、管理徹底の矢先 - ビジネス・経済

今回の件でわかったのは、「世界的企業で多数の個人情報を扱うところであったとしても、ただそれだけで信用できるというわけではない」とう言うことですね。「情報規模とセキュリティ対策は必ずしも比例しない」ということなのかもしれません。今回の件を反面教師として、他社もセキュリティ対策の徹底した見直しを実施していただきたいですね。そしてソニーは最も強固な対策・見直しを行い、サービス復帰につなげていただきたいものです。これで復帰→再流出となると、最悪営業停止命令すら出かねませんので。