カナダのパスポート申請情報、単純なURL書き換えで丸見えに
カナダの市民が、オンラインパスポート申請の際に他人の申請情報に簡単にアクセスできることを発見したことで、カナダ政府で騒ぎになった。
オンタリオ州ハンツビルにあるAlgonquin AutomotiveのITスタッフ、ジェイミー・ラニング氏は11月29日にeWEEKに、米国への旅行のためにオンラインでパスポートを申請していたときに、Passport Canadaのオンライン登録プロセス中にURLを書き換えると、直前にオンライン申請した人の申請情報を見られることに気づいたと語った。
ラニング氏はブラウザのURLのうち1文字を「M」から「L」に書き換えただけだった。パスポート申請者の社会保障番号、生年月日、運転免許証番号、住所などのデータを閲覧できることに気づいたという。
トロントの日刊紙Globe and Mailによると、申請情報にはほかに、自宅と勤務先の電話番号、連邦IDカードナンバー、銃器登録番号が含まれる。
「あまりに簡単だった」とラニング氏はeWEEKに語った。URLの書き換えは、決してでたらめにやったわけではなかったという。「(申請プロセスで)5段階目まで行ったのだが、必要な情報が足りなかった。何カ所かに問い合わせる必要があったが、住所が分からなかったので、電子メールで問い合わせをした。返信を待つ間にアドレスバーを見ていたら、わたしの申請IDがアドレスに含まれていることに気づいた。『このIDを書き換えたらどうなるだろう?』と思って、MをLに書き換えた。わたしの前に並んでいた人の番号だ。そしたらなんと、その人の情報が画面に表示された」
Passport Canadaから本稿掲載時までにコメントは得られなかったが、政府の担当者は12月5日にGlobe and Mailに、問題は修正されたと語った。
Passport Canadaの広報担当者は同紙に、この問題――この担当者は「単独の例外的なもの」だとしている――は、11月30日に修正されたと語った。だが、同サイトが4日に再開したときに、同紙は、何度かキー入力するだけで、パスポート申請者の氏名、住所、電話番号、緊急連絡先が暴露されてしまうことを発見した。
Globe and Mailは、ラニング氏が個人情報を入手したブランプトンの住人、ジェイソン・マースデンさんに連絡を取った。彼は同紙に、自分の個人情報が容易に入手できるようになっていることを知って「非常に驚いた」と話した。
「Passport Canadaのサイトのただし書きを読んだが、ハイテクセキュリティを使っていることになっている」とマースデンさんは同紙の取材に応えて語った。「(個人情報の漏えいが)そんなに容易に起きるなんて誰も思わないだろう」
実際、この2週間で、英歳入関税局であまりに容易にデータ流出が起きている。同局は11月20日に、2枚のディスクに保管されていた2500万人の児童手当受給者の個人情報を紛失したことを明らかにした。カナダでも、ニューファンドランド・ラブラドール州政府が11月26日に、数は不明だが、HIVや肝炎の検査結果を含む個人の医療データの紛失が起きたことを認めた。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。