News：ニュース速報

2002年5月27日　05:54 PM 更新

「お手数ですが削除いただけますよう」──個人情報大量流出のTBC

エスティックサロン大手のTBCのWebサイトの約3万件の個人情報が閲覧可能な状態になっていたことが分かった。同社は現在Webサイトを実質的に閉鎖、不正アクセスの可能性を示唆しているものの、単純な設定ミスを疑う見方もある

　エスティックサロン大手のTBC（東京ビューティーセンター）のWebサイトで約3万件の個人情報が閲覧可能な状態になっていたことが分かった。同社は現在Webサイトを実質的に閉鎖、「ホームページサーバーの深部へのアクセスがあった」として不正アクセスの可能性を示唆しているものの、単純な設定ミスを疑う見方もある。

　閲覧可能な状態になっていたのは、同社のWebサイトから資料請求やプレゼントに応募した人などの住所や名前、職業、電話番号、メールアドレスなど約3万件分。さらに「二の腕を細くしたい」といったエステに関心を持っている理由についての記述や体のサイズについて記されているデータもあり、ネットでの個人情報流出としては最悪レベルのケースとなった。

　TBCによると、情報が閲覧可能な状態になっていることが判明したのは5月26日未明。既にWebサイトは実質的に閉鎖、同27日付けでトップページに「お詫びとご報告」を掲げ、専用ホットラインを設けてユーザーへの対応に当たっている。

　TBCはWeb上の告知で、「ホームページサーバーの深部へアクセスがあり、ホームページへアクセスを頂いた『お問い合わせデータ』の一部が流出した」としている。

　実際には「www.tbc.co.jp/cgi/」ディレクトリに誰でもアクセスでき、個人情報を記録したcsvファイルのインデックスが見えてしまう状態になっていた。これについて「CGIの設定ミスでは」と見る関係者もいる上、「そもそもhttpdから見えるところに個人情報を蓄積していた時点で問題」と指摘する声もある。

　また「たまたま26日に問題が判明しただけで、既に長期間にわたって閲覧可能な状態になっていた」とも指摘されている。流出データは3万件をはるかに上回るとの情報もある。

　今回の件が仮に外部からの不正なアクセスにより閲覧可能な状態に置かれてしまったのだとしても、重要な個人情報をクラッキングによってアクセス可能にされてしまうようなセキュリティ管理の甘さについて、同社が責任を問われるのは必至だ。

　TBCはWebサイトの告知で「この度の流出したデータを入手された方はお手数ですが削除いただけますようお願い申し上げます」と呼び掛けている。だが100人がデータを入手したとして、99人がデータを自発的に消去したとしても、1人がデータを保持したままなら再び無限にコピーして無差別にばらまけるのが電子データとインターネットの恐ろしい側面だ。

　TBCと同様の状態になったままのサイトを発見したとの報告もネットでは相次いでいる。ネットを活用したマーケティングやオンラインショッピングなど、個人情報をネットでやり取りするサービスに対してユーザーの不信感が増すことは避けられず、影響は大きい。

関連リンク
TBC

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.