PR

 社団法人コンピュータソフトウェア著作権協会(ACCS)は11月12日,同協会のサイトで個人情報がインターネットから閲覧可能な状態になっていた問題について記者会見を行い,原因がWebアプリケーション,CGIプログラムのセキュリティ・ホールであったことなどを明らかにした。

ACCS 専務理事
久保田裕氏
 閲覧可能になっていたのはACCSの質問コーナー「ASK ACCS」に質問を寄せた約1200名の氏名,年齢,郵便番号,住所,職業および相談内容。ACCSでは11月9日の日曜日正午の12時頃,この問題を指摘するメールを確認,同日午後4時30分頃に,原因であるCGIプログラムを停止した。11月11日火曜日に,閲覧可能になっていた個人情報の該当者へお詫びのメールを送信するとともに,ACCSのホームページに事実の説明とお詫びを掲載した。

 問題を指摘した報告者以外が,個人情報にアクセスしたかどうかについては,11月12日午後6時の時点で「Webサーバーのログを調査中」(ACCS)としている。

 欠陥があったのは,Webページに質問を記入して送信する質問フォームから呼び出されるメールフォームCGIプログラム。質問フォームで「送る」ボタンを押すと,処理を実行するCGIプログラムが呼び出される。記入データに入力漏れなどがあった場合,CGIプログラムは,記入の不備を示すメッセージが記述されたファイルを表示する。CGIプログラムは,セキュリティ・ホールが存在していたため,このメッセージ・ファイルの代わりに,個人情報を含んだログ・ファイルを指定して表示させることが可能になっていた。

 ファイルを表示させるには,該当ファイルのファイル名を,CGIプログラムを呼び出す際のパラメータとして指定する必要がある。一般的なファイル名であったため,推測される可能性があった。また,同CGIは「ASK ACCS」をホスティングしているサーバー業者が,契約ユーザー向けに提供しているもので,同CGIを使用した経験があればファイル名も知ることができた。

 サーバー業者によれば,今回問題となったCGIプログラムの問題は,最新版では修正されている。また,問題がある古いバージョンのCGIプログラムは,ASK ACCS以外には稼働していないという。ASK ACCSのCGIプログラムが最新版に更新されていなかった原因については調査中である。

 ACCSによれば,個人情報を含むファイルは,Webのコンテンツとは別のディレクトリにあったため,表示するにはCGIプログラムを介する必要があり,直接ファイルのURLを指定してアクセスすることはできなかったという。

問題となった
質問メールフォーム
 問題となった質問メールフォームは,2000年4月に開設された。

 「ASK ACCS」以外のACCSのホームページは,他のサーバー会社を利用している。ACCSでは違法コピーの内部告発もWebで受け付けているが,告発者の個人情報については問題がないことを確認したとしている。

 ACCS 専務理事 久保田裕氏は,会見で「プライバシーの保護について相談を受け付けるサイトでありながら,個人情報流出の可能性がある状態を招いたという事実を重く受け止めている」と語った。質問を受け付ける際に,記入事項に個人情報を含めていたことについて「実名で質問していただくことで,真剣な質問や議論の場としたいと考えていた。しかし,個人情報を記入してもらう以外に,不真面目な書き込みは管理者が選別するなど別の方法があったのではないかという反省はある」と話した。

 ACSSでは,現在調査中の事項については,今後結果が判明すれば,ホームページなどで報告したいとしている。また,「実際に個人情報が流出したかどうかはまだ分からないが,もしもインターネット上でACCSから流出したものと思われる個人情報を目にしたら,報告してほしい」と呼びかけている。

(高橋 信頼=日経システム構築)


【補足】
本文中に「また,問題がある古いバージョンのCGIプログラムは,ASK ACCS以外には稼働していないという。」とありますが,これは,サーバー業者が,12日0時30分頃から未明にかけ,ACCS以外のユーザーが使用している旧バージョンCGIのすべてを,緊急暫定対策版のCGIに置き換えるという措置を行ったことによります。