2002年11月13日(水) << 前の日記 | 次の日記 >>
これまでの11月13日 編集

■1 アクセス制御機能に関する技術の研究開発情報の募集について[http://www.meti.go.jp/information/data/c21111aj.html][CLIP][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■2 NTT西日本Bフレッツお申し込みページにみる個人情報管理[http://www.ntt-west.co.jp/ipnet/ip/bflets/entry/entry_form.html][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

もうすぐBフレッツがやってくるんじゃないかと思って、申し込みページを開いてみたところ、 個人情報を扱うということが分かっていないなぁという作りを発見しました。
NTTに申し込んだ筈のデータが、全然知らない会社に届く仕組みになっています。
きっと業務委託なのでしょうけど、氏名・メールアドレス・電話番号・勤務先や携帯電話等の連絡先電話番号といった、クリティカルな個人情報を扱うのに、説明もなく外部にデータを送ってしまうやり方には問題を感じます。
こういう状況に問題を感じないから、WebサイトやASPサイトでの個人情報漏洩が次から次に問題化するのかも知れません。
以下問題点の指摘。間違っていたらフォロー頂けると幸いです。

Bフレッツサービスエリアチェック[http://www.ntt-west.co.jp/ipnet/ip/bflets/entry/entry_form.html]:

このページで電話番号とタイプを入力して検索を行います。
電話番号をお持ちで無い方は、検索を押すと他所のサイトに連れて行かれるのですが、 ここではアドレスバーに表示が出るので良いことにしましょう *1

サービスエリア外だった場合:

サービスエリア内だった場合は、住所入力のサービスエリアチェックに移動するのですが、 実はここで、他所のサイトに302でリダイレクトされています。
この時、GET引数が長いために通常のブラウザではURLの先頭部が見えず、 また、ページデザインも統一されているため、他のサイトに移動したことは分かりませんが、 GET引数を用いて、電話番号を引き渡してしまっています。
HTTP/1.1 302 Found
Date: Wed, 13 Nov 2002 05:54:28 GMT
Server: Apache/1.3.26 (Unix) PHP/3.0.18-i18n-ja-3
X-Powered-By: PHP/3.0.18
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Cache-Control: No-Cache
Pragma: No-Cache
location: http://www.anys.ne.jp/ntt-west/bflets/initservlet?days=3&PREF=ch&alpha1=XXXX&alpha2=XX&alpha3=XXXX&branch=XXXXXXXX&build=XXXXXXXX&service=XXX&fmc=3&plus=1&spot=1
Connection: close
Content-Type: text/html; charset=Shift_JIS

Connection closed by foreign host.
なお、この時GET引数の形に暗号化してある情報に府県名と電話番号があるのは恐らく間違いなく、二つのサーバ間で引き渡される情報であることを考えると、可逆な暗号化であることが推測されます。従って、REFERRER漏れを起こすと電話番号情報が漏れる可能性があります。
なお、ここに登場するanys.ne.jpが、NTT西日本とどのような関係にあるかは、 whois情報やanys.ne.jp *2 のホームページから得られる情報では明確でありませんでした。

サービスエリア内だった場合:

サービスエリア内だった場合、「カンタンお申し込み」と「お申し込み」が選択できますが、 「カンタンお申し込み」を選んだ場合、個人情報を入力することになるので、 httpsのページが開きます。
このhttpsのページが一番の問題であると思うのですが、フォーム上、 これが外部のサーバのページであるということが、非常に分かりにくくなっているのです。
  • リンク元のページで、JavaScriptを使用することによってリンク先が隠蔽されており、ステータスバーではntt-west.co.jp内のリンクの様に見える。
  • リンク先の記入フォームでも、JavaScriptを用いてアドレスバーを非表示にしている。
結果、証明書を確認するかページ情報を確認するかしないと、他所のサイトに誘導されていて、 その会社のフォームに対して個人情報を入力しているということに気付きにくくなっています。
移動する先は、dmi.co.jp(株式会社ダイレクトマーケティング研究所)内のページですが、 こちらもNTT西日本とどのような関係にあるかは、 whois情報やdmi.co.jpのホームページから得られる情報では明確でありませんでした。

まとめ:

という訳で、「NTT西日本に申し込む積りで個人情報を入力したら、良く分からないけど他の会社に個人情報を渡してた」という仕組みになっており、今後その個人データがどの様に扱われるのか不安なところです。
ASP方式であるとして、
  • 他社にリンクされているけど、NTT西日本が保証する旨ページに記載する
  • ntt-west.co.jpのサブドメインで運用する
程度の対応を行って頂ければと思います。

セキュリティホールmemo ML[http://memo.st.ryukoku.ac.jp/archive/200211.month/4980.html]:

にも同じ内容を投稿しました。
この問題を一緒に考えて頂ける方は、こちらの議論も追っていただくと良いかと思います。

バーチャルネットハッカーっ娘 沙耶16歳[http://saya.c-moon.jp/index.php?d=200211-B&cid=13-05#13-05]:

さんに取り上げて頂きました。
こういうサイトを運用するためには、相当の情熱と時間を注ぎ込む必要があることを少なくとも私は知っています。 こういう情報を提供して下さっていることをありがたく思っています。

Reimy's PukiWiki FrontPage[http://reimy.com/#content_2_10]:

に取り上げていただいた様です。
こういうサイトを運用するためには、相当の情熱と時間を注ぎ込む必要があることを少なくとも私は知っています。 負担にならない程度に続けて頂ければと思います。
*1: 説明があってしかるべきだとは思いますが、この先でクリティカルな個人情報を扱うことはない様です。
*2: ドメイン名訂正しました(2002/11/14)。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2002年11月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project