miamoto.net

§ 楽天から個人情報流出。

楽天からクレジットカード番号を含む個人情報が初めて流出 - CNET Japan

楽天は7月23日、楽天市場に出店している店舗の一部取引に係る個人情報が流出したと発表した。…

あくまでも噂になっていただけなので事の真偽は保証できないけど、私が確認した範囲だと2chでは7月20日の時点で既にこの話が噂されていた。

※あえて出典は明記しない。

*** 名前：名無しさん＠どっと混む 投稿日：2005/07/20(水) 00:15:37 ID:******** …（略）…○天の個人情報持ち出し事件の…（略）…

上で引いた記事を読んだらわかると思うけど、この事件は外部からの通報で発覚したらしく、いまだに原因および流出経路等は不明なまま。楽天側は通報を受けるまで知らなかったような感じだし、特定の店舗のそれも取引情報がピンポイントで抜かれたという点から妄想すると、今回のリークは部外者によるシステム・クラックによるものではなく、内部の誰かが盗み出したんじゃないかと思う。

もし楽天がとぼけているのでないとすると、恐らく彼らのシステムからは何のアラートも上がっていなかったのだと思う。だから気づかなかった、と。そうなると怪しいのは内部情報にアクセスできる誰かということになる。店舗関係者が自ら盗み出したのでなければ、同等以上の管理権限を持った誰かが正常なオペレーションで情報を抜き取ってリークさせたことになる。

あくまでも予想でしなかないけど、今回の場合システムをクラックして遊ぶというヲタ的要素がなさそうなので、はじめから何らかの目的を持って犯罪行為を完遂した事になる。これって、まさに極悪。マフィア絡みぽくてマジ怖い。

恐らく、ログを解析すると怪しい行動がある程度特定できると思うが、いちいち事実確認を必要とするのでものすごく面倒くさい作業だろう。（＞担当者のみなさん、おつかれさま。）

大規模なリーク事件にならないといいけど。

----

(26/07/2005 追記）

続報。

楽天の情報流出事件、「誰の責任なのかはっきりして」--出店者の苦悩と不安 - CNET Japan

楽天によると「アクセスログを調査したが、いまのところ（7月25日現在）不正アクセスなどの痕跡は見つかっていないので、楽天の社内システムから流出したとは考えにくい」（広報）としている。

こう言われしまうと店舗側が怪しくなってしまうのだけど、今の段階では楽天側にまったく落ち度がなかったとは言い切れない。しかし、不正アクセスの可能性が低いとなると、上で書いたように関係者または関係者を装った誰かが盗み出した可能性が高いと思う。

そこで鍵になるのは、なぜAMCの取引情報だけが狙われたのかという点。楽天で扱うデータが膨大すぎてすべてのデータを盗み出すのが困難なので、特定の店舗を抽出する必要があったのは確かだと思う。しかし、もっと大胆に踏み込んで妄想すると、犯人は他の店舗の情報にアクセスすることができなかったからAMCの情報のみを抜き取ったのではないか、と。つまり、犯人はAMCの店舗管理者と同等のユーザ権限を盗み出してそれを利用したのではないかと思う。そう相考えるとなんとなく辻褄が合う。

しかしそれ以前の問題として、流出したデータが本当にAMCの取引データだけだったのかどうかがハッキリしていない。この辺だけでも明らかになると、関係者たちの不安も軽減されると思うのだけど。現状、とりあえずオフィシャルな発表を待つしかない。