BB Watch編集部ブログ: カード情報漏洩には、カカクコムメソッドは通用しない
楽天で個人情報漏洩が起きた。現在のところ、楽天からは「現在までに漏洩情報はAMC(会社名:センターロード)1店舗しか確認されていない」「弊社内部から流出した可能性は限りなく低いとの結論に達した」というアナウンスが出ているのみである。 個人情報漏洩ではないが、トラブル対応例としては、カカクコムの例が記憶に新しい。記者会見を開催し、「当社のセキュリティは最高レベル」と言い切りながら、どういうシステム構成だったのかなど、具体的な事実は一切明かさない。「捜査中のため」のひと言で何も明かさない姿勢には、当然集まった記者から「では捜査が完了したら、きちんと発表するのか」などの突込みが多数入ったが、ともかく「弊社は被害者、責任はクラックした犯人にある」という姿勢を通し、詳細は一切明らかにしなかった。 カカクコム事件の犯人は逮捕されたが、一部報道ではカカクコムの件について「検察では、不正アクセス禁止法での
価格.com改竄事件、NOD32だけがウイルスを検知したのはなぜか
5月に発生した価格.com改竄事件で、Webサイトに仕込まれたウイルスを当初から検知できたウイルス対策ソフトはキヤノンシステムソリューションズが販売する「NOD32」だけだった。「Virus Conference for Enterprise 2005」で、キヤノンシステムソリューションズの高本勉部長(セキュリティソリューション事業部第二技術部)がNOD32について解説した。 ● 強力なヒューリスティック機能が未知のウイルスを検知 まず、価格.com改竄事件を振り返ってみよう。キヤノンシステムソリューションズによると、カカクコムが事件を公表した5月15日に先立つ10日に、NOD32ユーザーから「数社のWebサイト閲覧時にウイルスの可能性があると警告された」という報告を受けていた。その後、NOD32の開発元であるスロバキアのEsetにサンプルを送付。11日にはサイトからダウンロードされるウイ
クラブツーリズムの不正アクセス事件、容疑者が逮捕--価格.com事件にも関与か
旅行会社のクラブツーリズムのウェブサーバが3月に不正アクセスを受け、同社の保有する個人情報が流出した可能性がある事件で、警視庁ハイテク犯罪対策総合センターと新宿警察署が容疑者を逮捕したことが明らかになった。この容疑者はカカクコムや人材派遣会社のアデコ、静岡新聞社などのサイトにも不正にアクセスした疑いが持たれている。 逮捕されたのは東京都豊島区在住の中国籍男性、ユー・ファー容疑者(27)。逮捕日は6月22日となっている。 ユー容疑者は2005年3月15日から17日までの間、約19万回にわたって保有するPCからクラブツーリズムのウェブサーバに不正アクセスを繰り返した疑いが持たれている。クラブツーリズムでは、インターネット会員である最大約9万300名の会員ID、パスワード、氏名、住所、電話番号、携帯番号、FAX番号、会社名、会社部署名、会社住所、会社電話番号、メールアドレス、生年月日、性別の情報
波紋を広げるカカクコム問題 - 佐々木俊尚の「ITジャーナル」
カカクコム問題が、波紋を広げている。社会的責任のある東証一部企業が、果たしてあのような事後対応で許されるのかどうか。セキュリティに関して、情報を開示しないのが正しいのかどうか。 ところで私は数日前、産経新聞の連載コラム「断」に、次のような原稿を出稿した。 日本の企業は、何か事故を起こしても「警察が捜査中なので」「原因が究明されるまでは何もいえない」といった理由にならない理由をつけて、とにかく情報を開示しようとしない場合が多い。たとえばJR福知山線の脱線転覆事故や、あるいは昨年春に起きた六本木ヒルズ回転ドア男児死亡事故などを見ても、それは明らかだ。 しかし「だれに責任があり、だれが責任を負うべきなのか」という追及と、客観的かつ科学的な原因の分析については、本来はきちんと切り分けて考えるべきである。責任の所在が明らかになるまでは、原因につながる情報は公開しない方がいいという考え方は激しく間違っ
対岸の火事ではない「価格.com問題」,みなさんの悩みは?
5月25日,不正アクセスを受けたカカクコムの記者発表会に出席した。IT Proの読者の多くは,発表会の模様をIT Proのニュースなどですでにご存じだと思う。繰り返しになり恐縮だが,どのような手段で不正アクセスを受けたのか,どういったぜい弱性を悪用されたのかは結局,公表されなかった。 不正アクセスの手口を公開しなかった理由は,6月2日付けのニュース『【単独インタビュー】「当社が不正アクセスの手口を公開しない理由」,カカクコムの穐田CEO』にて穐田誉輝・代表取締役CEOが語っている。 「(手口を)公開することにはメリットとデメリットの両方があると思う」(上記記事中の穐田CEOのコメント)。確かにこの点は議論が分かれるところだろう。実際,当事者の対応も分かれている。5月31日には,不正アクセスを認識して女性向けサイト「OZmall」を一時閉鎖していたスターツ出版が,侵入の手口が「SQLインジェ
【インフォシーク】Infoseek : 楽天が運営するポータルサイト
日頃より楽天のサービスをご利用いただきましてありがとうございます。 サービスをご利用いただいておりますところ大変申し訳ございませんが、現在、緊急メンテナンスを行わせていただいております。 お客様には、緊急のメンテナンスにより、ご迷惑をおかけしており、誠に申し訳ございません。 メンテナンスが終了次第、サービスを復旧いたしますので、 今しばらくお待ちいただけますよう、お願い申し上げます。
ScanNetSecurity - カカクコム続報 実はサイバーノーガード戦法? 最大の問題は無知の脆弱性
価格.comを運営する株式会社カカクコムは5月16日、改竄被害に関わる緊急記者会見を行った。発表によると、プログラムファイルを修正するそばから不正アクセスによってさらに改竄されていたという。また、同サイトの電子メール配信サービス「お知らせメール」購読者のメールアドレス一覧ファイルにアクセスされた痕跡がログに残っていた。このサービスは、登録した商品の価格変動や、掲示板への書き込みを知らせるもの。ただし、購読者の本名や住所などの情報は含まれていないとしている。 また、同サイトでは改竄時に感染した可能性のあるウイルス「trojandownloader.small.AAO」「PSW.Delf.FZ」のセキュリティ対策ソフトの対応状況を掲載している。現在の状況は以下の通り。 ・トレンドマイクロ ウイルスバスター2005 定義ファイルバージョン:2.631.00(5/16) 検出ウイル
【価格.com問題】24日21時45分にサイト復旧,25日夕には会見開催
製品価格の比較情報を提供する「価格.com」を運営するカカクコムは5月24日夜9時45分,不正アクセスによって閉鎖していたサイトを復旧させ,サービスを再開した。ただし「ブロードバンド」や「保険」など約半数のカテゴリーは現在も停止したままとなっている。 24日夜の時点では「パソコン」や「家電」など主要な11カテゴリーのほか,「くちコミ掲示板」が閲覧のみ可能となっている。「利用が多いカテゴリーを優先させて復旧させた。その他のカテゴリーは随時取り組んでいく」(広報室)。 カカクコムは明日25日の夕方,これまでの経過について記者会見を開く予定。「不正アクセス事件の途中経過について,できる限りの説明をしたい」(同)としている。ただし事件が捜査中であるうえ,同様の問題を抱えたまま運用している他のWebサイトへの配慮もあり,事実をどこまで明らかにするかは不透明だ。
「価格.com」事件,「当社に過失はなかった」とカカクコム社長
製品価格を比較できるサイト「価格.com」を運営するカカクコムは5月25日,同サイトへの不正アクセスの原因に関して記者会見を開いた。会見では,攻撃元のIPアドレスや詳細な攻撃の手口が判明したことを明らかにした。合わせて,判明した攻撃元のIPアドレスとログ解析情報を,警視庁ハイテク犯罪対策センターに提出したことも公表した。 ただし,詳細な手口については,「同じ手口で他サイトが攻撃される可能性があることや警視庁の捜査に支障を来す恐れがある」(カカクコム代表取締役社長兼CEOの穐田誉輝氏)として一切公表しなかった。同業他社に対しては,「秘密保持契約を結べば,攻撃の手口を公開する」(同氏)とした。 今回の事件では,サイトへ登録しているユーザーのメールアドレス2万2511件が搾取されたが,「サーバーのOSにはパッチもあてていたし,アプリケーションの構造にも問題はないため,当社に過失はない。スパム対策
【価格.com問題】攻撃の手口の解明が進むが原因は非公表,「手口は今後も公開しない」
「価格.com」を運営するカカクコムは5月25日,24日に復旧した同社Webサイトに対する不正アクセス事件についての記者会見を開催した。 会見で穐田誉輝社長は,ユーザーが登録した約55万件のメール・アドレスのうち,2万2511件が流出したと発表(写真)。また,攻撃元のIPアドレスの一部を特定するなど,不正アクセスの経路や原因の解明が進んだとした。 ただし原因の詳細は,(1)類似犯罪を誘発しかねない,(2)警察の捜査に支障をきたす恐れがある――の2点を理由に挙げ公表しなかった。データベース・サーバーにアクセスするプログラムのぜい弱性が原因とする一部報道は,「当社から出た情報ではない」(穐田社長)と否定も肯定もしなかった。 さらに,警察の捜査が進んでからも,「警察の発表がすべて」(穐田社長)とし,不正アクセスの原因をカカクコムからは公開しない方針を示した。 カカクコムは24日にサイトを再開する
@IT:カカクコムがサイト再開、依然残る多くの疑問
2005/5/26 不正アクセスを受けて価格比較サイト「価格.com」の閉鎖に追い込まれていたカカクコムは5月24日21時45分にWebサイトを再開した。カカクコムは25日にWebサイト再開についての説明会を開催。しかし、不正アクセスの原因や今後の対策の詳細については「ほかのサイトへの攻撃の原因を作り出すことになりかねず、捜査にも支障をきたす恐れがある」として、明らかにしなかった。仮にカカクコムの不正アクセスの原因が、OSやデータベース、Webサーバなどの未知のセキュリティホールであった場合、ほかのWebサイトも不正アクセス被害を受ける可能性がある。 不正アクセスの原因については、「SQL Injection」(SQLインジェクション、詳細と対策は@IT Security&Trustを参照)の手法でデータベースが攻撃を受けて、結果としてWebサイトを改ざんされたとの指摘が一部メディアであっ
不正アクセス事件のカカクコムが会見,「Windowsサーバーの継続利用は今後の議題」
価格比較サイト「価格.com」を運営するカカクコムは5月25日,今月11日に発生した不正アクセス事件からサイトの一時閉鎖,24日の再開に至る経緯について,記者会見を開いて説明した。 同社の穐田誉輝代表取締役社長兼CEO(最高経営責任者)は,「捜査に協力するためと類似犯罪を防ぐため,不正アクセスの原因や具体的な対策については,答えられない」と説明し,最後まで詳細を明かさなかった。手口について,asahi.comが24日,「SQLインジェクションと呼ばれる手法を応用した」と報じたが,この内容が正しいかどうかについても穐田社長は「答えられない」とした。ただし,「心配されている企業があれば,秘密保持契約を結んだ上で,再犯防止に協力していきたい」という。 価格.comのWebサイトは,WindowsのWebサーバーとSQL Serverを組み合わせて構成しており,企業が商品の価格データを登録したり,
価格.com「過失責任はない」と主張、サイト改ざんの原因は公表せず
比較購買サイト「価格.com」を運営するカカクコムは5月25日、前日のサイト再開を受けて記者会見を開いた。消費者からウイルスの駆除方法などについて1333件の問い合わせがあったことを明らかにしたほか、外部委員を招いて「カカクコムセキュリティ対策委員会」を設置することを発表した。一方で、サイト改ざんやメールアドレス流出の原因については、警察が捜査中であることを理由に、一切明らかにしなかった。 穐田誉輝社長は、サーバーの管理責任について「OSへのパッチ適用など、考えられる対策は適切に取ってきた。今回の件は我々の過失ではない」と否定した。取引先企業に対しては広告料の返還などを行うものの、ウイルスに感染した消費者への金銭的な補償は考えていないという。 消費者からの報告を受けて同社サイトからのウイルス配布が確認された5月11日から、14日のサイト閉鎖まで3日間を要した点については、「運営しながらでも
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.asahi.com/business/update/0516/052.html
http://itpro.nikkeibp.co.jp/free/NCC/NCCCOLUMN/20050518/161060/index.shtml
http://www.asahi.com/national/update/0520/TKY200505190358.html
http://www.asahi.com/national/update/0524/TKY200505230341.html
http://www.asahi.com/national/update/0525/TKY200505250310.html?t5
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050525/161530/index2.shtml
「過失はない」としながらも不正アクセスの詳細の言及は避ける~カカクコム