去年の年末、芸能人ブログに投稿された記事からリンクされる形で流出した芸能人ブログのパスワード。(参考:2010年1月3日の日記)
その「犯人」が逮捕されたようです(INTERNETWatch)
犯人は、芸能事務所の元契約社員。
アメーバ側からのメールに誤って添付されたものを、飲食店の無線LANで接続して投稿したそうです。
メールに添付してしまったことは、送信した社員も把握しておらず、届いた側も何も言わなかったとのこと。
アメーバを運営するサイバーエージェントは、「情報の扱いを徹底する」的なコメントが出ていますが、ぶっちゃけ、「パスワード一覧」という文書がある時点でダメだと思うんだけどなぁ。
ユーザーのパスワードは管理者にも分からないようにしないとダメだと思うんですよ。
管理者でもパスワードを見ることが出来ないってシステムは結構あって、パスワード忘却とかは、最初に登録したメールアドレスに新パスワードを送付することで対応しているシステムも結構あるわけですよ。
パスワード自体は、暗号化されたデータベース上にしか無くて、管理者も見ることが出来ない。ってのが個人情報の管理としてはベストだと思うんだけどな。
個人的に思うのは、
・間違いでもパスワードファイルを送信してしまった
・パスワードも無い平文でファイルを保存していた
・間違って添付するほど、簡単に添付できる状況だった
・パスワードがまとめて記載されているファイルが存在していた
・機密であるパスワードが記載されたファイルが存在していた
言ってしまえば、この辺が全部「過失」だと思うんですが、いかがなモンでしょうかね。
まぁ、一説には「ゴーストライター向けのファイルにしか見えない」って話がありましたけど、真実は分かりませんけど。
不正アクセスも問題だけど、やっぱり個人的には「企業の個人情報管理」って方を見たほうがいいと思うんだよね。
「不正アクセスされる可能性」っていうのは何処にもあるわけですしね。
まぁ、コレはセキュリティの1つの例として、語り継がれるんじゃないかなぁ?なんて勝手に思っていたりします。
入手経路が特殊だから、誰もが出来るっていうわけじゃないのは、救いといえば救いではありますけど。
とはいえ、この「飲食店の無線LAN」というのがどういう状況だったのかがちょっと気になったり。
客へのサービスということで、完全開放していたのか、店側やプロバイダが把握できる状況だったのか。
というか、コレ、どうやって足がついたんですかね。
メールの送信ログとかから割れたんですかね。
続報は大手が絡むだけに、あんまり出てこない気もするわけで。
まぁ、無線LANは便利だけど、使ってる人が分かりにくいというのは問題だよね。
ホント、配線するのがアホくさくなるぐらい、取り回しがいいし。
ただ、せめてパスワードぐらいは設定して欲しいな・・・とおもっとります。