2006年 01月 15日

不正アクセス法か否か?

楽天ですが。

ANAの件、会員ログインしないとポイントがもらえないのにも関わらず
ポイントもらうアドレスを直リンしたらもらえちゃうっていう感じだったらしいんですよ。

これは不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)違反になるのか?

「システムの穴は以前から指摘があった。これを改善しようとしなかったのは楽天の落ち度」
とし、不正アクセス禁止法違反にはならないという方がいます。

ご最もです。ですがそれでは多少通じにくい場合もあるようなので、
もう少し判りやすい例を挙げてみましょう。

数年前、Ragnarok○nline(一応伏せておきますかプ)なるMMORPGが
正式課金をスタートしました。
Webサイト上では質問や意見、バグ報告等を
「会員ログイン」を行うことで会員ページより送信することが可能で、
煩雑な諸々の確認作業等を省いたものだったのですが

こちら、開始早々とんでもない事件になりました。

このソフトバンク社系列Gung-h。社(一応伏せておきますかワラ)がこしらえた
会員専用ログイン、ログイン後のページ。
「お客様情報」で塗り固められた上記のやりとりを、
アドレスの数字を適当に変えるだけで
他の会員としてログインできてしまうという仕様だったのです。
大量の顧客データが流出しました。

自分の会員データさえあれば、いつでも他人のデータを読みとめる、書き換えられるのです。
今回のANAの事件に似て、かつ個人情報漏洩等の
重大な問題をはらんでいました。

当初社はあちこちの機関に犯人調査等を依頼し、不正アクセス禁止法違反として
断固とした処置を取ると公式サイトで発表していましたが、
数日後「不正アクセス禁止法違反とするにはシステムがザルすぎて適用できない」
と言われまったく相手にされなかったと発表、
社としては非常に遺憾ながら云々、利用者にはタイヘンご迷惑を云々添えました。


たしかSSLもつかってなかったんじゃないかな?

*ちなみにこのゲーム、一時期は自分のIDとパスワードを入れたのにも関わらず
他人のアカウントに接続され、ログイン・プレイ・キャラクターデリート等が可能という事件が
一人一日数十回という単位でありました。
この事件で「チートでぜんぜん違うサーバーに、不正キャラクターを作られる」等の被害を受けた人々が
後に「不正利用者としてアカウント凍結」、「不正利用者一斉アカウント凍結」などといった
多重苦を受けました。


追記:今回TB頂いた午後の日記さんの記事が、
信頼性の高い楽天不祥事まとめとなっているようですよ。
[PR]

by goukasoshina | 2006-01-15 05:23 | 最速の日常


<< 今日の日記は、そうですね      母がフィギュアを買ってくれなか... >>