News 2003年11月12日 09:07 PM 更新

「足元から火がついた」──ACCSの個人情報流出は1184件、脆弱性を3年以上放置

「個人情報の保護にACCS自身が失敗してしまった。」

 コンピュータソフトウェア著作権協会(ACCS)のWebサイトから個人情報が流出した問題で(関連記事を参照)、ACCSは11月12日、流出した情報の件数が1184件に上ることを明らかにした。サイトは欠陥が放置されたまま3年以上運営されていたことも分かり、プライバシー保護を呼び掛けてきたはずのACCSの失態に批判が集まっている。


陳謝する久保田裕専務理事(左)と葛山博志戦略法務室室長

 個人情報が流出したのは、著作権やネット上のプライバシー問題について一般ユーザーからの相談を受け付ける「ASK ACCS」。質問フォームに記入された氏名、年齢、郵便番号、住所、職業、相談内容が、外部から閲覧可能な状態になっていた。

 ACCSによると、原因は質問フォーム用CGIスクリプトの脆弱性。脆弱性は2000年4月の開設当初から存在していたと見られ、個人情報が流出可能な状態で3年間以上運用されていたことになる。

 同サイトのサーバ管理、制作はともに外部に委託しており、スクリプトはサーバ管理会社がWebサイト制作会社に配布した。その後、脆弱性が修正されたスクリプトも配布していたというが、実際には適用されずに放置されていた。なぜ改良スクリプトが適用されなかったのかは「調査中」だとしている。

 データへのアクセス履歴も「調査中」としており、実際にどの程度の人数がアクセスできたのかは分かっていない。不正コピーなどを専門に調べるACCSの担当者を動員し、ファイル交換ネットワークやWeb上で該当ファイルの有無を調べている。11月12日時点で流出は確認されていないが、「独自調査には限界がある。もしそれらしいファイルを見つけたら報告して欲しい」と呼び掛ける。

 流出した個人情報の所持者には11月11日、事実を説明した上で謝罪するメールを送信した。また手紙や個別訪問などによる謝罪も検討している。

 ACCSは同サイトの他にも、ソフト不正使用などの告発を受け付けるページも運用している。これらは情報が流出したサーバとは別のサーバでACCSが運用しており、セキュリティに問題はないという。

 ACCSの久保田裕専務理事は「ACCSが呼びかけてきた個人情報の保護にACCS自身が失敗してしまった。まさに“足元から火がついた”状態で、非常に申し訳ない。原因を究明し、二度と起こらないようにしたい」と平謝りしている。



関連記事
▼ ACCSの著作権・プライバシー相談サイトから個人情報が流出
▼ 「お手数ですが削除いただけますよう」──個人情報大量流出のTBC
エスティックサロン大手のTBCのWebサイトの約3万件の個人情報が閲覧可能な状態になっていたことが分かった。同社は現在Webサイトを実質的に閉鎖、不正アクセスの可能性を示唆しているものの、単純な設定ミスを疑う見方もある

▼ ユーザー情報流出のアビバ、「保存場所がハッキングされた」

関連リンク
▼ ASK ACCS
▼ コンピュータソフトウェア著作権協会

[岡田有花, ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.