うぇぶのほそみち

楽天の個人情報流出なんたら

2008/10/11 / 0件のコメント

今回(といっても対策も済んでいるらしいし、話題に出すのも遅すぎるのは重々承知の上で・・・)の楽天の個人情報流出事件は非常に興味深かった。技術的なあれこれよりも、その経緯が良くできたシナリオのように、負の連鎖を踏んで行ったということらしい。凄くリアリティのある映画を見ている気分になってしまった、というと不謹慎だけど。なんか事件の再現VTRとかあるでしょ。レスキュー911とかの。あーいうノリ。

経過はこちらで軽く触れられている。「水無月ばけらのえび日記」

例えるならこんな感じ。ある銀行がやっている、自分の口座の明細を郵送するサービスがあったとする。確実に本人であることを示すために、口座の所有者は各個人専用の暗証番号を添えて銀行に申し込む必要がある。ある人(A)が、「あれ、どうやって申し込み送るんだっけ?」と疑問になり、同じサービスを利用しているお隣の奥さん(B)に聞いてみる。Bさんに申し込みの書類を見せてもらい、きっちりメモを取って、Aさんはその通りに銀行に送る。が、ここで、Aさんの暗証番号を書かなきゃいけないのに、Bさんの書類から取ったメモの暗証番号をそのまま送ってしまったと。

Aさんのところには、Bさんの明細が届くことになわるわけだ。このAさんのメモを見た人が、「あら、これわかりやすいわあ、見せて~」と言い、同じようにBさんの暗証番号を書いて銀行に送る。またさらには、このメモを便利だからと団地の掲示板に貼ったりすると・・・・。これがさらに広まって・・・。

そんなことありえるのか?だって個人の暗証番号でしょう?って思う人は、例えば銀行のキャッシュカードはパスワードさえ合ってれば、赤の他人でも堂々とお金を引き出せるということを考えてみればよろしいわけで。ATMは誰が来たか、とかそんなの判断しないから、お金を吐き出す。例え盗んだカードでも、その時点では(被害届と使用差し止めが間に合ってなければ)普通に引き出せる。

えーと、ちょっと話がずれたけど・・・・。この例えで言う「暗証番号」はおそらくURLがその役目を果たしていたわけで。(クエリーのパラメータでしょうか?)でも、そんなの一般的なユーザーはわからない。それを他人に教えたり、ましてやソーシャルブックマークしたりすることが、どういうことかをわからない。つうか普通気付かないよなー。自分の個人情報(にアクセスするための鍵)をユーザーが自分で広めてしまった、ということになるね。もちろん、対策はサイト側で必要なんじゃないのかと言われればその通り。まったくその通りなんだけれど、利用者側でやらかしてしまうという事もあるわけだぞ、と。

自分も利用者としての注意義務を考えねばならんかなー。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)