読者です 読者をやめる 読者になる 読者になる

マスメディアからの個人情報流出に思うこと

 日テレ・J-WAVEのWebサイトから、相次いで個人情報が流出したというニュースがあった。原因はどちらもOSコマンドインジェクションとのこと。日テレの方は詳細な情報が無いので分かりませんが、J-WAVEの方はMovableTypeの未知の脆弱性を突かれたらしい。が、よくよく考えてみると、アホな運用をしているとしか思えないんだが・・・。

internet.watch.impress.co.jp
internet.watch.impress.co.jp

 OSコマンドインジェクションでデータを抜かれたって事は、Webサーバに個人情報を置いてあったと思われます。対策として両社ともサーバからの削除と書いてるので、多分間違いないかと。

 個人情報の流出対策として一番効果的なのは、「個人情報を持たないこと」なんですね。無い物は流出のしようがないですから。両社とも流出したデータは番組のプレゼント応募者データらしく、当選者への商品発送に必要ですから氏名・住所などの個人情報を収集するのは必要だから仕方ないのですが、呆れたのがJ-WAVEが2007年以降のデータ、日テレも「2008」と入った番組の分が流出した可能性のあるデータに含まれていること。それぞれ、8年と9年前ですよ。番組のプレゼント企画であつめた情報なんて、当選者を決定して商品の発送が完了したら不要なものだろ。仮に番組への意見のようなデータが含まれていたとして、個人情報を含んだまま保管しておく事、しかも外部に公開されているサーバに置いているなんて、とてもじゃないが理解出来ない。

 ベネッセの事件は悪意を持った内部関係者の犯行なので防ぎようのない側面がありますが、この2件はいずれも正しい運用(不要になったら削除/安全な場所へ移動)をしていれば防げたはずです。もし、ソフトウェアの脆弱性を突かれたのだから仕方ないなどと開き直るようだったら、それは許されることじゃないな。