※追記・下の補足記事も併せてお読みください。
http://mobaphoto.blogspot.com/2010/10/blog-post_25.html
http://mobaphoto.blogspot.com/2010/10/1025-yomiuri-onlineiphone-twitter.html
※追記2・高木氏の日記に解説記事が出ました。併せてお読みください。
高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生
http://takagi-hiromitsu.jp/diary/20101025.html#p01
さて、いつも物欲話ばかりのブログだが、今日はとても真面目な話。
今朝未明にYOMIURI ONLINEに掲載された以下の記事。
iPhoneで人の情報丸見え…閲覧ソフト原因 : 社会 : YOMIURI ONLINE(読売新聞)
http://www.yomiuri.co.jp/national/news/20101024-OYT1T00747.htm
(現在は修正されています。もともとの記事については、ネット&デジタルのこちらの記事や、こちらのWeb魚拓を参照してください)
(現在は修正されています。もともとの記事については、ネット&デジタルのこちらの記事や、こちらのWeb魚拓を参照してください)
実は、この件について読売新聞に情報を伝えたのは、ぼくだ。
だが、このオンラインの記事は見出しやまとめ方が不味く、経緯や原因をちゃんと説明しているとは言い難い。
そこで、当事者の一人としてできるかぎり詳しくまとめてみようと思う(ちなみに、紙の新聞ではもっと詳しくちゃんとまとめられているとのこと。この記事を書いている時点では確認できていない)。
時系列でまとめると、
↓
「クイックログイン」というボタンがあったので、押してみた
↓
自分ではない人でログインできてしまった!
↓
もしや、と思い「お客さま情報の参照」に進んでみたら
↓
名前、住所、電話番号など丸分かり!
↓
10月10日
高木氏より連絡あり
↓
「実際に被害が出た、重要な事案」ということで、高木氏から読売新聞の記者を紹介してもらう
10月12日
読売新聞の記者から連絡をもらい、以後数通やりとり。15日に会って話をすることに
10月15日
記者と会って取材を受ける。どういう流れでアクセスできてしまったのかという事情の説明
そして今朝(10月25日)記事になった。
大まかな流れはこんなところだが、10月9日のことをもう少し詳しく書いてみる。
iPhoneというのは実に中途半端な所があって、PC用サイトは文字が小さすぎるし、ケータイ向けサイトはケータイIDがないとアクセスできないところも多い、らしい。実際そんなにケータイサイトを使うことはないので詳しくは知らないが、万が一必要になった時のためにと、「ソフトバンクケータイのフリをする」という触れ込みのSBrowserを持っていた。
クロネコメンバーズのサイトはPCでは何度か使ったことがあったのでアカウントは持っていたが、携帯向けサイトから使ったことはなく、ほんの好奇心で「たまにはケータイのフリをしてみようか」とSBrowserでアクセスしてみた。
この時、「クイックログイン」というボタンをたまたま押してみたところ、なんと見知らぬ他人のIDが出て来た!
そこで、恐る恐る「お客さま情報の確認」というのを選んでみると、IDやパスワードの入力を求められることなく個人情報が丸見えになってしまった!
メールアドレス、フルネーム(フリガナ付き)、電話番号、そして下にスクロールすると住所も見えた。唯一、生年月日だけがプライバシー云々で伏せられていたが、他の情報がこれだけ見えてしまってはどうしようもない。
驚きが収まった後は怖くなった。何せ赤の他人の個人情報を握ってしまったわけだし、そもそもぼく自身、このサイトに自分の個人情報をきっちりと登録しているのだ。
とりあえず画面キャプチャを撮影した後(iPhoneはキャプチャがすぐ撮れてこういう時に助かる)、クロネコヤマトに通報するべきかと最初は思ったが、一般人が言ったところで聞いてもらえるかは分からないし、そもそもどこにどう通報していいのかも全く分からない。
そこで、セキュリティの専門家である高木浩光氏に相談のメールを送った次第だ。
当初ぼくが思っていたよりもこれは重大事だったようで、高木氏いわく、
・以前から氏が警告していたケータイID絡みの問題の中で、「実際に被害が出た」点が新しい
・問題はSBrowserよりも、サイト側(つまりヤマト運輸側)にある
とのことだった。
2つ目が特にポイントだと思う。たしかにぼくがiPhoneでアクセスしたことから発覚した事態だが、iPhone(とSBrowser)が悪いわけではない。あくまでサイト側のセキュリティの問題だ、というのが専門家の見解だった。
また、ぼくが取材を受けた時も、記者の方はあらかじめ高木氏に会って話を聞いてきたとのことで、これならきちんとした記事になるだろうと安心していたのだ。
それだけに、今回のYOMIURI ONLINEのまとめ方があまりにも乱暴なことにびっくりした。記事はどう読んでもスマートフォン(特にiPhone)が悪いと書いてあるようにしか読めないし、ヤマト運輸にあまり落ち度がないかのような表現ととれる。
また、ぼくが取材を受けた時も、記者の方はあらかじめ高木氏に会って話を聞いてきたとのことで、これならきちんとした記事になるだろうと安心していたのだ。
それだけに、今回のYOMIURI ONLINEのまとめ方があまりにも乱暴なことにびっくりした。記事はどう読んでもスマートフォン(特にiPhone)が悪いと書いてあるようにしか読めないし、ヤマト運輸にあまり落ち度がないかのような表現ととれる。
この記事に関するtwitterのつぶやきを見ても、「どっちが悪いのかよく分からん」「iPhoneだけ悪者?」という感じのコメントがあり、よかれと思って情報提供したのに正しく伝わっていないことがとても悲しかった。それが、この(珍しくも)真面目な記事を書いた理由だ。
なお、記者の方の名誉のために言っておくと、サイトに掲載する担当は別にいるそうで、書いたご本人も「こんな風に縮められるとは思わなかった」とのこと。まとめた方も悪気はないのだろうが、間に人を挟んで正確にモノゴトを伝えるのがいかに難しいか、その片鱗が見えた気がした。
なお、記者の方の名誉のために言っておくと、サイトに掲載する担当は別にいるそうで、書いたご本人も「こんな風に縮められるとは思わなかった」とのこと。まとめた方も悪気はないのだろうが、間に人を挟んで正確にモノゴトを伝えるのがいかに難しいか、その片鱗が見えた気がした。
ちなみに、この件に関する技術的な話(検証など)については、いずれ高木氏が日記できちんとまとめてくださると思う。