Web屋のネタ帳

このネタもまたこのブログではだいぶ手垢がついてますが、メモ代わりに。 クレジットカード番号の流出も嫌だけど、パスワードの流出はもっとタチが悪いと思う。

去年のヤフオクのID大量乗っ取り事件のころ、筆者は、 拝啓 消費者支援機構関西 様という記事を書いた。ちょうど去年の今頃（2008年9月）だ。そこでは「昨今の企業不祥事の様子から推察すると、（パスワードの流出が）発覚しても公表していない企業すらあるでしょう。また、不正アクセスに気づいてすらいない企業もあるでしょう。」と書いたが、まさにその同時期に、不正アクセスに気づいてすらいないor公表していない企業が、あったわけだ。まさに氷山の一角。

• 通販サイト「イーサプライ」不正アクセスでカード情報5620件流出 (INTERNET Watch 2009/8)
• esupply: お客様情報の流出のご報告とお詫び(2009/8)

  （１）経緯
  
  2008年8月 クレジットカード会社より、カード情報流出の可能性があるため、 当社へ調査の依頼があった。
  2008年8月 当社にて調査を実施。当社のみの調査では漏洩の事実は確認できなかったが、念の為、システムのクレジットカード情報をすべて削除し、クレジット決済を一時休止。また、サイトログイン時のパスワードのハッシュ化（暗号化）の対応を行った。
  （筆者注↑ということは、これ以前はパスワードを平文で保存していたということ）
  
  （途中省略）
  
  （３）漏洩した可能性のあるデータについて
  2002年1月～2008年8月の間にお買い物をされたお客様の個人情報
  閲覧痕跡項目：メンバーID、サイトログインのパスワード、受注番号、名前、メールアドレス、生年月日、年齢、電話番号、クレジットカード番号、クレジットカード有効期限
  

see also:

• パスワードの危機(その１) − きっかけ (2004/2)
• パスワードの危機(その２) − あるべき姿 (2004/2)
• パスワードの危機(その３) − 楽天の場合 (2004/2)
• パスワードの危機(その４) − SSL催眠術 (2004/2)
• パスワードの危機(その５) − アマゾンの場合 (2004/3)
• パスワードはサイバースペースの「実印」 セキュリティー-西本逸郎のセキュリティー表ウラ （日経Net IT-PLUS 2008/2）

  ■利用するサイトはパスワードをどう管理しているか
  　多くのセキュリティー事件を目の当たりにしてきて、正直びっくりしたことがある。これは、非常に多くのサイトがパスワードを平文（データベースを見られる人なら、パスワードの内容がわかってしまう状態）で保管していたという事実だ。

• ナチュラムの情報漏えい事件では顧客のパスワードが平文で流出していたことが発覚 (2008/8)
• 拝啓 消費者支援機構関西 様 (2008/9)
• パスワードをハッシュ化（暗号化）保存することを法律で義務化するくらいのことが必要だと思う (2008/10)
• 9割以上がID・パスワードを複数サイトで併用、野村総研調べ (Internet watch 2009/6)

追記：

ここも同様。 （お詫びpdfのコピーここ）