News | 2003年11月12日 09:07 PM 更新 |
コンピュータソフトウェア著作権協会(ACCS)のWebサイトから個人情報が流出した問題で(関連記事を参照)、ACCSは11月12日、流出した情報の件数が1184件に上ることを明らかにした。サイトは欠陥が放置されたまま3年以上運営されていたことも分かり、プライバシー保護を呼び掛けてきたはずのACCSの失態に批判が集まっている。
個人情報が流出したのは、著作権やネット上のプライバシー問題について一般ユーザーからの相談を受け付ける「ASK ACCS」。質問フォームに記入された氏名、年齢、郵便番号、住所、職業、相談内容が、外部から閲覧可能な状態になっていた。
ACCSによると、原因は質問フォーム用CGIスクリプトの脆弱性。脆弱性は2000年4月の開設当初から存在していたと見られ、個人情報が流出可能な状態で3年間以上運用されていたことになる。
同サイトのサーバ管理、制作はともに外部に委託しており、スクリプトはサーバ管理会社がWebサイト制作会社に配布した。その後、脆弱性が修正されたスクリプトも配布していたというが、実際には適用されずに放置されていた。なぜ改良スクリプトが適用されなかったのかは「調査中」だとしている。
データへのアクセス履歴も「調査中」としており、実際にどの程度の人数がアクセスできたのかは分かっていない。不正コピーなどを専門に調べるACCSの担当者を動員し、ファイル交換ネットワークやWeb上で該当ファイルの有無を調べている。11月12日時点で流出は確認されていないが、「独自調査には限界がある。もしそれらしいファイルを見つけたら報告して欲しい」と呼び掛ける。
流出した個人情報の所持者には11月11日、事実を説明した上で謝罪するメールを送信した。また手紙や個別訪問などによる謝罪も検討している。
ACCSは同サイトの他にも、ソフト不正使用などの告発を受け付けるページも運用している。これらは情報が流出したサーバとは別のサーバでACCSが運用しており、セキュリティに問題はないという。
ACCSの久保田裕専務理事は「ACCSが呼びかけてきた個人情報の保護にACCS自身が失敗してしまった。まさに“足元から火がついた”状態で、非常に申し訳ない。原因を究明し、二度と起こらないようにしたい」と平謝りしている。
[岡田有花, ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.