西山

Webサーバからファイル流出…こんな原因も【Pマーク取得の基礎知識】


 

HISが運営するWebサイト「国内バスツアーサイト」において個人情報を含む予約データが外部から閲覧可能になっていたことがわかりました。

HISで情報漏洩、バスツアー客の予約情報が流出

2017年8月から12月までの国内バスツアー関する予約情報が流出したもので、そこには推定1万人分以上の氏名や年齢、性別、住所、電話番号、メールアドレス、ツアー名、出発日などが含まれているものと見られます。

このニュースを取り上げたのは、今回の流出の原因が、Webサイトの更新において旧サイトからデータを移行する際に個人情報を誤って公開領域に保存してしまったことにあるということだからです。プライバシーマーク(Pマーク)取得会社としてはぜひ注意を向けるべき内容ではないでしょうか。

プライバシーマーク(Pマーク)取得会社に限らず、今回のような事故、すなわちWebサーバコンピュータ上の本来公開されるべきでないファイルがインターネット越しに読み出せる状態に置かれてしまうということは残念ながら起こりうることです。

個人情報を含むような重要なファイルをインターネット上の公開領域に設置してしまうというのは大変な問題ですが、実際にはどんな要因でこういった事故が発生するのでしょうか。

 

ファイルの置き場所の間違い

Webアプリケーションの設計段階で公開されるページに非公開のファイルを置く設計を行ってしまったというケースがあります。

これは単純なファイルの配置間違いの場合もあれば、Webプログラムを実装する時に開発者が独自にファイルの配置場所を決めたが、それが実はWeb公開領域だったという場合も想定されます。

また特定の利用者だけアクセスできるように設計すべきコンテンツを誤ってWebページの公開領域に置いたという場合もあるでしょう。

 

バッグアップコピーが作成されていた

Webサーバにはデータを自動バックアップする機能もあります。バッグアップコピーとはこの機能によりWebサーバ内に作成されるデータのことですが、このデータがサイトの運用時に意図せず一般公開領域に置かれてしまうこともあるかもしれません。

Webサイトを運営しているプライバシーマーク(Pマーク)取得会社はWebサーバのバッグアップの設定(制限やどの領域にバッグアップが生成されているかなど)がどうなっているかを確認する必要があるでしょう。

 

認識されない拡張子の使用

プログラム上の要因に踏み込むとすれば、たとえばincludeやrequire、useなどの命令で取り込むソースファイルの名称に、標準ではWebサーバやWebアプリケーションサーバがスクリプトとして認識しない拡張子を付与されている場合があるということを考えなければなりません。具体的には.incや.pmなどが認識されない拡張子に該当します。

このようなファイルの場合、URLを推測できればだれでもインターネット上でアクセスできる可能性があります。

 

ソースコードのバッグアップが作成されていた

ソースコードのバッグアップファイルが作成され、Webサーバの一般公開領域に置かれていたというケースもありえます。

やはり自動でバッグアップされてしまう場合が多いのですが、それ以外にも開発者がサイト更新時に意図的に旧サイトのコピーを取得し、それを誤って公開してしまったという場合もあるでしょう。

まとめ

プライバシーマーク(Pマーク)取得会社としてはこのような事故を未然に防ぐための対策をぜひとも講じなければなりません。次回の記事で対策についてまとめます。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山