悪質サイトに間違われないためのWebキャンペーン会社に潜む情報セキュリティの落とし穴(1/3 ページ)

インターネットアンケートが盛んに行われているが、個人情報を狙う怪しげなサイトも多い。企業が実施する上で、悪質サイトに間違われないための方法やユーザーが注意すべきポイントを紹介しよう。

» 2009年06月09日 07時15分 公開
[萩原栄幸,ITmedia]

 今回は企業の有力な拡販ツールとなった「Webキャンペーン」における注意点について紹介します。Web上の問題点では、最近はクロスサイトスクリプティングやSQLインジェクションといった脆弱性を狙う攻撃が広まっていますが、今回はもっと基本的な――盲点となっている――ポイントを解説します。

 まだ個人情報保護法が施行される以前、わたしの知人(30代女性)にある1通のメールが届きました。普段ならすぐに廃棄するジャンクメールですが、その中に彼女が欲しかったバッグの名前が記載してあったのです。その文面は次のようなものでした。

「○○(ブランド名)のバッグを100人、1万円の商品券を500人にドカーンとプレゼント!」

 さっそくそのサイトで確認したところ、簡単なアンケートに応募するだけで抽選の権利が貰えるといいます。彼女は祈るような気持ちでアンケートに答え始めましたが、途中からどうしても違和感を覚えたので中断し、わたしに相談をしてきました。

 わたしはメールを確認してから内容を精査しました。メールやリンク先のホームページなどの情報から、帝国データバンクによる業績の状況、日本レジストリサービス(JPRS)の「WHOIS」サービスなどを利用して確認しました。その結果は以下の通りでした。

  1. 帝国データバンク内に記載された会社、住所が一致するものは無かった
  2. WHOISではレンタルサーバの管理となっており、実際の会社とは無縁のサーバ運用会社の情報が掲載されていた
  3. メールに記載された問い合わせの電話番号は転送されており、そのサービスを行うオペレーターが対応していた
  4. 実際の住所まで出向いたが記載の会社はどこにも存在せず、ビル名自体が偽りであった
  5. 連絡先のメールアドレスは会社のドメインにしたアドレスになっておらず、フリーメールのIDが社名に近似していただけのものだった

 彼女が違和感を覚えたのも当然で、アンケートには「化粧品販売」向けのアンケートだとうたわれていたものの、その内容は彼女によれば次のようなものでした。

【必須項目】

氏名、年齢

既婚・未婚(既婚の場合は離婚・死別欄もあった)

性別(女性向けアンケートとなっており、男性の選択肢がなく固定で「女」と記載済)

住所、電話番号、職業

普段利用している化粧品(選択欄があり、メーカー名と商品名、購入価格を書き込むようになっていた)

「お肌」で普段悩んでいる事

今後化粧品に期待したい事

【任意項目】

勤務先の団体名・会社名、住所、連絡先

身長、体重、体の部分や性格で悩んでいる部分

持病、生理周期、利用の生理用品

今後「治験者」としてご連絡を差し上げてもいいか(簡単な説明と日当として危険度に応じて3000〜5万円までを支給)


 女性たちは意外にもブランド品ほしさから、他人に対して恥じらうことが少なく、任意項目もかなりの確率で記載してしまうといいます(任意項目を書かないと落選するのではないかと考えてしまう)。

 さらには化粧品のモニターとして同時に応募すれば、1年間参加するだけで1カ月数万円の報酬と化粧品が使い放題(そのメーカーのものに限る)になるといいます。ただし、モニター希望者は、デジタルカメラで撮影した全身と顔のアップの2枚の画像をメールに添付するよう指示されていました。

 今なら誰もが「おかしい!」と気が付くかもしれませんが、その当時はほとんどの人が個人情報保護などという概念すら持っていませんでした。現在でもさほどその意識は大きくは変わっておらす、「多少神経質な人が増えただけ」と指摘する専門家もいます。

 分析の結果、わたしはさっそく唯一の連絡先だったメールアドレスに警告をしましたが、まったく音沙汰がなく、そうこうしている間に十分に目的を達成したのか、サイトは閉鎖され、真偽の不明な当選者をサイトに公開して表舞台から消え去りました。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ