個人情報保護対策−企業・団体のための個人情報保護支援サイト

  • トップページ
  • 設立の目的
  • 活動基本方針
  • 事業概要
  • 会員の種類及び入会条件
  • 会員特典
  • 資料請求
会員特典
  • ロゴのダウンロード
  • 弁護士への相談
  • PiiPシール
  • 模擬試験ID

  • 過去問題集
  • PiiPバッジ購入
  • 書籍購入
  • 講習会申込
 

 

価格.comの不正アクセス事件による個人情報流出とウイルス流布による二次被害の危険性

 

2005年5月に起こった、価格.com(以下、カカクコム)の不正アクセスによる、サイトの改ざん事件は、メールアドレスの流出だけでなく、登録しているショップをはじめ、同サイトを利用するユーザーへの大量ウイルス散布事件となった。結果、サイトは約10日間閉鎖されることとなり、一時閉鎖に伴う業績への影響については、売上高で1億5000万円〜2億5000万円程度と言われている。

 

 公式には改ざんの手口は公表されていないが、カカクコムで被害にあったサーバは、WindowsでウェブサーバーはIIS6であることは周知の事実だ。OSの脆弱性をつかれたのか、それともアプリケーションなのかは不明だが、カカクコムのホームページ中に、ウイルス感染サイトへのリンク「iframe」が不正に書き込まれたのが原因だ。ページを表示すると、ウイルス配布サイトのスクリプトの内容がPCで実行され、PCがウイルスに感染するというのが、今回の被害の流れである。

 

 

 今回、サイトの改ざんから見ればカカクコムは被害者だが、アクセスしたユーザーがウイルスの被害に遭う結果となり、ユーザーから見れば加害者の側面もないわけではない。

 同社は、サイト内に「スパム対策サポートサイト」を開設して、該当するユーザーが対策しやすいようにサポートするなど、可能な限りユーザーへの対応を急いだ。しかし、サイトの異変に気付きながらも犯人の侵入経路を分析するためと即座の閉鎖を後伸ばしにし、結果として感染者を増やしたことは否めない。当初カカクコムには「不正アクセスが発覚した時点でサイトを閉鎖すべきではなかったか」との非難の声が多く寄せられた。

 それに対して、穐田社長は「不正アクセスが発覚した当初に、異質なプログラムの存在には気づいていたが、それがウイルスだと認識できなかった。アンチウイルスソフトメーカーに問い合わせたが、該当するウイルスがなかったためだ。サイトを運営しながら防御できる内容だと判断したため、すぐには閉鎖しなかった。その後に攻撃の頻度が高まったためサイトの閉鎖を決断したが、ウイルスについての正式な見解が出たのはサイト閉鎖後だった」と述べ、閉鎖を決定するまで、けして意図的にユーザーを危険にさらしていたわけではない旨を説明した。