矢ケ崎ブログ

「Ｗｅｂ設定初歩的ミス」

矢ケ崎です。

高速道路の料金値下げの恩恵を受けるのに必要なＥＴＣ車載器が不足していま
す。それでなくても数が少ないメーカーに、生産ラインを増やして増産しよう
という動きが無いからです。(「ＥＴＣ車載器、品薄続き　民主政権なら不要…
増産せず」朝日新聞の記事)

記事を読むと、メーカーの対応は、値下げは期間限定の上、近い将来予想され
る総選挙で民主党は高速道路の無料化を掲げており、選挙の結果次第では、車
載器は不要になる可能性もあるからということです。

「サキヨミ」のヒット率がどのくらいかわかりませんが、自動車部品関連業界
も今後の総選挙、政権を予測・対応しているようです。

ゲームやエンターテイメント関連の事業を行うエンターブレインは、運営する
「ファミ通ドットコム」で、顧客の登録情報の一部(7704件)が外部から閲覧可
能だったと発表しました。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ファミ通ドットコムご利用お客様の登録データ情報管理に関するお詫びとお
　知らせ（ファミ通ドットコム）
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

このたび『ファミ通ドットコム』におきまして、「メールマガジン」、「ファ
イルダウンロードサービス」、「レビューログ」、「マイゲームリスト」にご
登録いただいていたお客様の登録データの一部が、管理サーバー上で外部から
のアクセスにより閲覧可能であったことが判明いたしました。

お客様および関係者の皆様には多大なるご迷惑とご心配をお掛けしましたこと
を心よりお詫び申し上げます。

本件は2006年8月に管理サーバーのディレクトリを変更した際、該当フォルダの
認証制限がはずれ、サーバーが非公開設定になっていなかったことが原因で発
生したものです。その結果、2009年6月5日までの間に、18名の方の住所、電話
番号、メールアドレス、ユーザーネームが外部からのアクセスにより閲覧され
た可能性があることが判明しました。また、7686名の方においてはメールアド
レスとユーザーネーム、都道府県名が、外部からのアクセスにより閲覧された
可能性があることが判明しました。

現在までにこれらデータの不正利用は確認されておりませんが、サーバー内の
お客様登録データは約10万2000件あり、これ以上の閲覧の可能性や、認証がは
ずれておりました要因につきましても、当該サービスを担当しておりますサー
バー管理会社とともに、引き続き徹底的に調査を進めてまいります。なお、当
該サーバーは現在では非公開に設定されており、外部からの閲覧は一切不可能
な状態となっております。

また、お客様に御登録いただきましたサービスのうち、試写会などプレゼント
への応募や、「ユーザーズアイ」、「from ファミ通.com 」などのアンケート
につきましては、別システムで運用しており、今回問題となりましたデータに
は含まれておりません。改めて管理体制について問題がない事を確認しており
ます。

ファミ通ドットコムではこのたびの事態を厳粛にうけとめ、全力を挙げて再発
防止および個人情報保護の体制強化を行い、皆様の信頼回復に努めてまいりま
す。

【当該サーバーでお客様情報を管理しているサービス】
　　メールマガジン（現在は配信しておりません）／レビューログ／マイゲー
　　ムリスト
　　ファイルダウンロードサービス（ID、パスワードを入力して利用するもの）
【上記に該当しないサービス】
　　プレゼントへの応募（試写会ほか）／アンケート（ユーザーズアイ、from
　　ファミ通.com など）
　　壁紙などのダウンロード（ユーザーID、パスワードを利用しないもの）
　　ファミ通WaveTV、テックジャイアンオンライン

１．対応経緯
　　2009年6月5日 第三者より当該サーバーが閲覧可能であるとの指摘を受け
　　る。
　　即刻当該サーバーを非公開に設定。
　　エンターブレイン内に対策委員会を設置し、調査を開始。
　　監督官庁へ報告。

　　2009年6月6日以降 アクセスログの解析等、調査を継続。

　　2009年6月12日 本件を公表、お客様へお詫びのご連絡。

２．お客様への対応
　　１）お客様へお詫びのご連絡。
　　　（まずはデータへのアクセスが確認されました7704名のお客様について、
　　　本日中にｅ-mailにてご連絡いたします。また当該サーバーにデータが登
　　　録されているそのほかのお客様にも、順次ｅ-mailにてご連絡させていた
　　　だく所存です。）

　　２）エンターブレインホームページ等にて告知掲載、および緊急コールセ
　　　ンターの設置。
　　　エンターブレイン公式サイト(http://www.enterbrain.co.jp/)

　　３）再発防止策
　　　本件を深く反省し、再度当該サイトにとどまらずエンターブレインの個
　　　人情報に関わるすべての情報管理体制について、再度不備がないか徹底
　　　的に確認を行ないます。さらに全てのWebサービスにおいて、今回の原因
　　　となったサーバー変更実施の際は、セキュリティを強化し、サーバーへ
　　　のアクセス制限をより強固にするとともに、セキュリティ状態の確認を
　　　行なう検証プロセスを徹底いたします。

　　　なおエンターブレインでは、本件を重く受け止め、社内規定に則り、責
　　　任者の処分を行ないましたことをご報告させていただきます。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上

※関連リンク
■弊社ファミ通ドットコムご利用お客様の登録データ情報管理に関するお詫び
　とお知らせ[PDF]（エンターブレイン）
■エンターブレイン
■ファミ通ドットコム

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

つい最近も、ダイエーのネット通販で本来非公開になっているはずのお客様の
個人情報が閲覧可能になっていた、という事件が起きました。(「本来、非公開
のはずが・・」矢ケ崎ブログ2009.6.12)

今回も、「本件は2006年8月に管理サーバーのディレクトリを変更した際、該当
フォルダの認証制限がはずれ、サーバーが非公開設定になっていなかったこと
が原因で発生したものです」と記載されているように、まったく初歩的な設定
ミスが原因です。

公開されているサーバの中に会員限定とか、管理専用とかのような非公開の情
報を収納する場合、まず、やらなければならないのが「非公開設定」です。

システムの管理者が具体的な作業をしますが、その後には、設定の完了時には
その設定が要求通りに仕上がっているかを確認します。要求事項を満足してい
れば、次に仮に運用してみます。一定期間の仮運用で新たな問題などが無けれ
ば、本運用に入ります。

このような一連の基本的な流れを無視した(省略した)動きは、後になって今回
の様な問題を引き起こす原因となります。

私たちの日常業務においても、「あたりまえ」は数多く存在します。会計事務
所でも、日常業務は「あたりまえ」の連続です。

ルーチン業務の重要性を痛感する毎日です。

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓