【オレンジ工房】カンプリ系列情報流出【ゆず工房】

1 ：09/10/16 〜 最終レス ：11/11/10

ここはオレンジ工房の情報漏洩問題スレです。
オレンジ工房の系列会社、全てで情報漏洩が確認されています
●系列会社：オレンジ工房、ゆず工房、DOUJINぶっくす、DOUJINぐっず、カンプリ
※※※注：みかんの樹と柚プリントは、名前が似ているだけでまったく無関係の別会社です※※※
■状況：10月3日15時40分頃まで
オレンジ工房と系列会社（上参照）の使っていた
WEB入稿用のCGI （名前等を入力してアップロードする掲示板のようなもの）に問題があり
2005年の設置以来、入稿した人物の個人情報が他の人から見えるようになっていた模様。
電話番号、サークル名、IP、アップ日時、ファイル名を見られて、ダウンロードできる状態にあり
発注書同梱の場合、住所の入手も可能であった。
ファイル名に本名を使うよう指示していた会社もあり、ファイル名だけでも危険があった。
■状況：10月4日02時現在
通報を受けカンプリから順次対応、CGI停止で直には見られない状態に。
（各印刷所は現在、宅ファイル便やメールなど、別の方法でデータ入稿を受付中）
■状況：10月5日11時現在
DOUJINぶっくす、DOUJINぐっずがサイトトップページに謝罪文掲載
次いでオレンジ工房も掲載するが、 先に出したDOUJINぶっくす、DOUJINぐっずのコピペ
このスレで「ご愛好」が話題になってから「ご愛顧」に改変
ゆず工房、カンプリには動き見られず
経緯、Q&Aなどは>>2-10くらい
オレンジ工房・カンプリ系列情報漏洩問題まとめ
http://www31.atwiki.jp/orangekoubou/

2 ：

関連スレ
【ゆず工房】オレンジ工房情報流出4【カンプリ】
http://changi.2ch.net/test/read.cgi/2chbook/1254839641/
ニュース
「関西 DTP 大手のカンプリで顧客情報漏洩」
ttp://slashdot.jp/security/09/10/13/0135257.shtml

3 ：

【簡単な経緯その１】（暫定まとめ。随時修正追加ヨロ）
2005年頃にオレンジ工房および系列会社が、データアップロード用の掲示板を設置
フリーCGIをお粗末な改造でセキュリティなどないまま使用、個人情報だだ漏れ状態だった
また、その改造の仕方を見るにオレンジ工房自身データが誰にでも見える状態を認識していた様子がある
※カンプリに関しては2003年分から、他系列会社は開設当初からの流出が確認されている
↓
2009年9月30日
友人Aのデータが見られることに気づいた人Bが、オレンジ工房に指摘
ところが、工房側は「しばらく改善は無理」との返事
↓
2009年10月3日朝9時頃
Bから連絡を受けたAが2chのDTP板にあったオレンジ工房のスレに書き込む
↓
オレンジ工房と系列会社の情報漏洩の実態が判明、大騒ぎに
↓
オレンジ工房および系列会社利用者が次々と会社に問い合わせるも
「担当者がいなくてわかりません」の返事

4 ：

【簡単な経緯その２】
2009年10月3日15時40分頃
CGIがようやく停止、404状態に
↓
オレンジ工房はサイトに「メンテナス中」とアナウンス、カンプリにいたっては
サイトにあったデータアップロードの手順説明を削除しただけ
しかし、漏洩したデータの削除などの対策がされていないことが判明
↓
2009年10月5日
サイト上に謝罪文が掲載されるも、スレ上で誤字を指摘され慌てて修正される
また電話問い合わせに対し「現在調査中、これから情報追跡」と返答する
↓
オレンジはweb上に漏洩した個人情報削除の申請をし
スレ上で言われ続けていたロボテキを入れるがかなり不完全な状態
↓
2009年10月6日
ごく一部ではあるが漏洩情報が削除され始める

5 ：

【Q＆A】
Q以前にオレンジ工房（系列会社含む）使っちゃったんだけど
Aオレンジ工房or系列会社にゴラァメールを
情報削除依頼・サイトへの事情説明・謝罪掲載などを要求しましょう
自分で漏れ場所がわかっているなら、メールなりで報告すると吉
そのＵＲＬ、スクショ等を送りましょう
Q情報の削除ってどうするの？
Aそれぞれの管理サイトに削除依頼を。中には個人は相手にしないという
ところもありますが、当事者であれば多少は考慮されると思います
もちろんオレンジ工房と系列会社に要求もしましょう
Q個人情報ってどこに残ってるの？
A二次被害を防ぐために教えられません
Q.オンリーの支援印刷所にオレンジ工房が！どうしよう
A.責める口調でなく、工房のした事についてお知らせするメールを主催者さんに送ろう

6 ：

【問い合わせ現状】
・大体は電話後、折り返し電話を貰う（10〜15分ほど） サークル名、名前などを聞かれる様子
・10/3朝、で2ch効果により個人情報にアクセス集中、 その被害者14人には個別連絡済み
　30日〜3日のアクセスが酷く、その時点で鯖上にあったデータはＤＬされた可能性が高い（10/6報告）
・Google及びアーカイブには削除申請と書面通知を出している
　申請中ということは消されるまで野ざらし？→はい （10/6報告）
　（現段階も各方面調査中、各自情報提供ヨロ）
・漏れたZIPデータに関しては追跡調査をし、きちんと報告する
・ロボテキは現在調整中、ただし付け焼刃のため指定範囲が狭い（詳しい人情報提供ヨロ）
　WEBサイトは外注ではなく、内部作成されたものである
・現在（10/5報告）入稿されているものは必ず納品する
・イタ電、実害があれば連絡を、警察へ相談や保障は出来うる限りする、料金請求しておｋ

7 ：

代替印刷所の相談はスレチ
下記スレで各々相談してください
【質は】とにかく安い印刷所６【問わない】
http://changi.2ch.net/test/read.cgi/2chbook/1249529711/
今からでもOKな印刷所ヽ(`Д´)ﾉ【30】
http://changi.2ch.net/test/read.cgi/2chbook/1251276988/l50
オンデマンド・リソグラフ印刷総合　その17
http://changi.2ch.net/test/read.cgi/2chbook/1254545152/
スペースのレイアウト・13
http://changi.2ch.net/test/read.cgi/2chbook/1254402597/
◇◇◇グッズ製作７◇◇◇
http://changi.2ch.net/test/read.cgi/2chbook/1247120593/
無料配布スレ
http://changi.2ch.net/test/read.cgi/2chbook/1247392236/

8 ：

乙です。ななしは書けないのか………？

9 ：

ウイルス対策でななしダメな板だから

10 ：

>>1乙
警告age進行でいいのかな？
被害者かどうか、判定方法は
カンプリ、ゆず、オレンジ、DOUJINがサイトに持ってた
『Web入稿』を利用していたかどうか。
Web入稿利用者は情報、送信データがネットの海に大公開されています。
2007年は重症。今年の夏なんかもヤバイ。
ポスター印刷などで大手サークルの利用もあったようです。
あと、情報漏洩ではなく
意図してWWWにタレ流しなので、より悪質です。
HPに自分の本名電話番号住所を書くような感覚。

11 ：

>>1乙です。
火花入稿時期近いのでお願いします。

12 ：

勝手に立てるなよ。。。
まだ決まってないのに

13 ：

>>10
未だどこかで公開中なの？　
でもダウンロードされたって堂々と書いてあったから…そうだろうね。　
でもデータ入稿で抜かれた情報で、個人特定出来るもんかな。

14 ：

>>13
いや、今は原稿自体を抜くことは出来ないはず・・・
でも個人情報自体は誰でも簡単な方法で見ることができる状態
名前、電話番号、サークル名、ＩＰは確実に見えてるよ
これだけわかれば特定可能すぎるでしょ。

15 ：

サンクリの二の舞か

16 ：

電話番号変えても、今は住所年齢氏名出身校や職場特定出来るからね
エステや通販で入力した情報って垂れ流しだから

17 ：

サイトに垂れ流しか
どこのエステや通販？

18 ：

垂れ流しってどこだ
つか初歩的なこと聞くけど、IP抜いて個人情報ってどこまでわかるもんなの？
データ入稿って、ファイル・メアド・代表者名以外に記入するとこってあったっけ

19 ：

>>17
どこのじゃないよ
有名企業は大概リストが出回ってる
オレンジも５年近く騒ぎにはならなかったわけだけど
普通は中の人でそれなりにスキル/立場がある人が
こっそり小遣い稼ぎで売ってたりするんで発覚に数年かかったり、
発覚しなかったり、もみ消したり
nyで流出とか、上場企業からクレカ情報が流出とかが「発覚した」時はニュースになる
覚えの無い会社からのＤＭとかはそういうリストから発送されてることも多いよ
自分はそういうのの調査団体にいた
詳しくは書かないけど、２万〜で誰でも割り出し可能だよ
これは通常、悪戯電話やストーカー、夜逃げされたとか
架空請求受けた時に使うことが多い手だけど
逆にストーカーにも使われることがある
番号を調べる側は金さえもらえればいい感じ
だから、今回の件で携帯番号変えりゃいいじゃない〜なんて
言ってる奴がいたらキレていい
オレンジがのほほんとしてたら、もっとキレていい
>>18
ＩＰで割り出し可能なのって、居住区とかプロバイダとかだよ

20 ：

>>19
詳しい説明�d、そういえばノウハウの方でも元オレンジ社員が
別の地区で受注された同人のデータ勝手に使ったりしたって言ってたよね
紺だけ時間経って外注の会社も検討中とか、のほほんとしすぎだよな。
直接会社の方に出向いてやろうかまったく…

21 ：

>>19
「名簿を必要とする企業間で名簿が回る」と「誰にでも見えるようにサイトにうｐ」
の違いが判らないの？

22 ：

>>21
そんなカリカリすんなよ、別に擁護してるんじゃなくて
どこも似たような事やってるから気をつけれって話じゃないの？

23 ：

どこが似てるの？

24 ：

うん、ID:Xhp/w6GE0は肝心のところがズレている
名簿が一般的にどれほど売り買いされてるかが問題じゃないだろ？
オレンジ工房や親会社のカンプリが長年掲示板cgiに顧客情報を
垂れ流しだった事を指摘されているのであって

25 ：

まぁ、ズレてても有益な情報くれたじゃないか
はした金でこういう情報を探して売り買いする業者の存在があるってこと
あんな出しっぱなしの状態、しかも広まっても速攻で動かなかったら
そういう業者が発覚段階で集め回ってておかしくないってこと
今回出た情報で、そういう団体は出た以上の情報を引き出せる(被害が増す)ってこと。
何より加害者も被害者も認識甘いよって言いたかったんだろうと思うんだが。
最後もっと怒れよって言ってるようなもんでしょ？

26 ：

>>16
というかまともな会社は顧客リストの保護はめちゃくちゃ堅いよ？
一部の黒企業を知ったからってそれを全部かのように書くのはどうかと
と、同じく検査管轄にいた自分も言ってみるｗ

27 ：

裏で流出はよくあることかもしれんが、今回の件はあまりにお粗末すぎる
せめて指摘されてすぐに改善すればまだしもだったかもしれんけど、この
対応の悪さではな…

28 ：

>>19
名簿が回るのは聞いたことあるけど、そんな“どこでも”的な状態とは…
キャッシュは今削除されたのかな？　
あのCGI簡易すぎて変だと思ったんだ。はあ…

29 ：

何度か使ってしまった
サイトで書きたいけど自分や他の人が割り出されても困るし書けない
自分も甘かったとは思うけど腹立つなあ

30 ：

オレンジ→ロボテキ入れたが削除依頼は遅々として進まず
カンプリ→ロボテキすら入れてない

31 ：

カンプリにクロール来たかな
Robots.txt Query Exclusionになてる

32 ：

早く消えるといいね

33 ：

オレンジ、段箱の底とかにひく汚れ・キズ防止用の紙が
別サークルさんの表紙の試し刷りの紙（サークル名、PN入り、消しても無い）
だったりしてたから基本的に認識甘いんだと思ってたが
こんなことになっていようとは…

34 ：

>>33
うわーそういうの見ると引くわ

35 ：

個人情報取り扱いの意識低すぎ

36 ：

オレンジに限ったことじゃない
自分なんて、他人の名刺のヤレ(断裁前)入ってたぞ
モロ個人情報じゃないのかコレ

37 ：

うちも相方が（オレンジではない別の印刷屋で）新刊作ったとき、
納品された段箱の敷き紙がどっかの企業の名刺の試し刷りだった
会社名も部署名も名前も電話番号もばっちり
見た瞬間、「こういうことが普通なのか？」ってどん引きした
どっちにしても、他もやってるから〜って、オレンジを擁護するつもりはまったくないけど

38 ：

普通でしょｗｗｗ
そんなことで騒いでる君達が馬鹿なのｗｗｗｗｗｗｗｗｗｗ

39 ：

夜釣りですか？精が出ますね

40 ：

オレンジに限った事じゃないからって普通ではないわなｗ
その上カンプリはWWWでもそれをやったという異常さ

41 ：

そして指摘されても最初はしらばっくれようとした図太さ

42 ：

うわぁマジか。
もう二度と使わん

43 ：

キャッシュはまだ残ってる

44 ：

これミスやウイルスによる流出じゃなく、人為的持ち出しでもない
最初から顧客情報簡単に見られるような仕組みで晒してたんだよな？
危機管理どころか「置いてますが何か？」な感覚がありえねー…

45 ：

ミスはミスだろ
別に見せてやるよ！！って公表してたわけでもあるまいし。

46 ：

ミスはミスだろうけど、それをやっちゃいけないミスだと認識してたら
「うああああ！自分のミスでこんなことやってごめんなさいぃぃいあああ！
怒られて当然だけど、せめて後処理はがんばりますあ゛゛゛！」
みたいに反省と尻拭いに奔走するもんだよね。
「で、ミスしましたが何か問題でも？あーもぅ、うるさいなぁ仕方ないから後始末やってあげるよ。」
的な踏ん反り返り具合だよね。今回。

47 ：

>>45
車の人身事故起こして「ミスりましたｻｰｾﾝｗｗｗｗ」で済むのか？
しかも今回は分かっててやったんだから更に悪質だ

48 ：

>>45
あれはミスとは言えない
一見わかりにくいが見えるのはわかってて置いてた訳だから
悪意があってやっていたと見なされても仕方がない行為だ
大企業なら個人情報を扱う部門は携帯すら持ち込み不可の上
生体認証（指紋や静脈とか）しないと入室できないようになっていたりする
カンプリ程度の規模の会社にそこまでしろとは言わないが
それでも個人情報や客のデータに対しての認識がひど過ぎるだろ

49 ：

誰でも見えるのは分かってた。ってのは確定事項なの？
それこそ中の人しか事実は分からない気がするけど。

50 ：

>>49
わからなかったとしても、その低脳が免罪符になるのは
未成年と精障だけ

51 ：

図書館の隅の棚をこっそり預かりもの置き場にしてたようなもんだからなぁ
そもそもがミスとかそういう次元の話じゃない
>>49
少なくとも、ウェブサイトを作れる人が作ったページである限りそれはありえないｗ
上から布被せとけば誰も気付かないよね、とか、そういうレベル

52 ：

みんなウイルスに優しいな

53 ：

>>49
過去ログとかにも出てた話だけど
ＣＧＩのソースに、誰でも見れるとわかっててやってた記述があるそうだ

54 ：

<!-- -->でくくって表示させないようにしてたんだから
くくらなきゃ表示されるっていうのは分かるだろ

55 ：

元のCGIは、書き込まれたものを自分の中にとりこんでHTMLを吐き出すタイプのもの。
で、メアドだのファイルへのリンクが書き出されては困るから
書き出すためのHTMLに、ここだけブラウザで表示しないでね、っていう処理をしてた。
つまり
・書き出されることが認識できなければ、非表示処理はできない
・非表示はブラウザ上だけであってソース上は表示されるのは常識
　（むしろそのための非表示処理機能）
・制作は社内でやってます発言
という条件が揃って、これをあわせると
「社員が、ソースには丸見えなのを認識していて、ブラウザ上でだけ表示されないように
意図的にコメントアウト処理をした」としかならない。
そもそも「サーバのトラブル」ではなく「プログラム上のトラブル」だし
「アップロードサーバ」ではなく「アップロードプログラム」だし
「セキュリティの問題」ではなく「社内処理のいいかげんさの問題」だし
「一部データの流出」ではなく「全データの垂れ流し」なので
「サーバのセキュリティトラブルで一部情報が流出しましたがあなたの情報は流出してません」
とか言ってる時点で、まるっきり何もわかっていないバカ集団なのは確か。

56 ：

もともと社内用に使ってたらしいしな

57 ：

あげとく

58 ：

向こうが終わりそうなので誘導age

59 ：

脳板スレの1000、GJ
一度も責任者が名前出して誤らないのが気持ち悪い

60 ：

普通情報流出したら、被害者全員に連絡して
謝罪と今後の対策説明の必要があるんだがなあ…
行政指導まだ入ってないんだろうか

61 ：

いまだにきちんとしたお詫びないんだね

62 ：

コミケで合わせここを使う人がいませんように

63 ：

いたとしても新参のピコとか厨だけだろうねｗ

64 ：

こないだ友達に話しておいたわ
知らなかったって言ってたから広めるように頼んでおいた

65 ：

火花の納品メールが来ないお…

66 ：

>>65は大丈夫だったんだろうか

67 ：

火花で二つ折りチラシがあって中開いたら、半面にお詫びがあった
が、残り３面は値段表やらアピールだったなあ
いや、そんな表を載せても、もうオレンジでは刷らないよ………

68 ：

うｐ

69 ：

ごめん、捨てて来た

70 ：

>>66
ごめん、直接搬入はメール来ないの忘れてただけだった
騒動は知ってたが、予算や時間の関係で今回もオレンジ使った。
当然だが刷り上がりはいつも通り。
ダン箱に入ってたチラシや社員からの通信欄には特になにもなし。
お詫びがあるチラシっていうのはスペースにあったほうかな？そっちは見てない。

71 ：

予算だけでいうならオレンジ以外を探したほうがむしろ都合つきやすいような気がするんだが…
割引はともかくそのままの値段だとオレンジって決して安いほうじゃないよな？

72 ：

うん
でもかたくなに「値段でオレンジ」って言い続ける人いるね
何部何ページでオレンジが安いの？

73 ：

チラシ自分も見たよー持って帰ればよかったな…
情報もれた方は連絡くれとか書いてて、
連絡くれじゃないよお前らが連絡しろよとイライラしたよ
doujinグッズのチラシには漏洩の事は書かれてなかった

74 ：

チラシ持ち帰ってきた
まだ外部の専門業者に調査委託してないらしい

75 ：

調査なんて未来永劫しないだろw

76 ：

>>72
社員なんでしょ

77 ：

オンデマの値段と納期で言えば曳航、歩プ留守、火仮
対応の良さとクオリティなら日航、日の出
特殊紙や特殊加工なら島矢やプリント温と色々あるのに
目の前の箱で捜しもせずに、にちゃんに書き込む意味がｗ

78 ：

実際安いかどうかはわからんが、逆に安くないって行ってる人はなぜオレンジに頼んだのか・・・
安くも無いと思ってる店に頼んで、情報漏らされたんだったら笑うしかないｗ

79 ：

安さだけで印刷所を決めるドピコの金無し>>78

80 ：

論点はそこじゃないだろ
個人情報の漏洩を何とも思ってないカンプリの体質が
どうよって話なのに定期的に価格の話にスライドするのが不自然って事>>78
ついでに金無しドピコ乙>>78ｗｗ

81 ：

>>78が安いと思いこんで刷ってもらってるならいいんじゃね？
ここは今じゃやじうまも一杯いるからw
テカテカで仕上がり好きじゃないから
オレンジ工房で刷ってもらった事なんかないよ
情報漏洩するような企業だってわかったら余計刷りたくない

82 ：

>>71
グレスケで評判いい＋ＰＰ加工有だと、
値段あんまり変わらなかったり、締切はここより早いところが多かったよ。
もっと調べたらあったんだろうが、その手間を原稿にかけたかった。
買手に被害があるわけじゃないし、自己責任で使う分には仕方ないかなと。
もちろん、次回からよく調べては別のところ使うつもり。

83 ：

どうしようか

84 ：

冬のフェアが自分的にヒットだったので（30％オフとか）今回は蜜柑にするぜ！と
思ったんだけどサイトに訳のわからん謝罪文が載ってた。
ここ見てよかった…いつもの印刷所にしよう。
対応がすでに「企業」のものじゃない。
こんな対応ならＷＥＢだけでなくあらゆる面で杜撰なんだと思う。
以前表紙だけ印刷を利用したことがあって、印刷やスタッフの対応は満足だっただけに
本当に残念だと思う。企業としての責任と今後のコンプライアンスの遵守を期待したい。
使わないけどね。

85 ：

まさにずさんという言葉がよく似合う

86 ：

スタッフの対応良かったんで前4回位使ってたんだけど
あの対応見たら、もう使いたく無くなったわ…

87 ：

なんでオレがオレンジが安い！と思って使ってることになってるんだ？

88 ：

過去にここの会社に面接で落とされたことがあるけど
こんな会社だったなら採用されなくてよかったと思う。
今はマトモな会社で働いてるし。

89 ：

>>88
マジでよかったな

90 ：

>>88
負け惜しみ、、、こんな会社にすら必要とされて無いｗ

91 ：

>>90は日本人じゃないだろ
負け惜しみの意味が分かってない

92 ：

カンプリなんかに入ってたら今頃地獄だろｗ
負け組底辺奴隷涙目乙ｗｗ

93 ：

>>91
http://dictionary.goo.ne.jp/leaf/jn/182309/m0u/%E3%81%BE%E3%81%91/
あってるじゃん、実際に負けたかどうかはおいといて

94 ：

>>93
だから今マトモな会社で働いてる88が
カンプリに負け惜しみを言わなきゃならん理由がないから
使い方が間違っていると言われてるんだろwww

95 ：

>>94
ネタで言ってるだけなのに、そこまでまじめに答えられてもな・・・

96 ：

>>95ネタ言う必要ない場所で言うってのは、空気が読めてない、浮いてる、異質ってことだね
みんな判っててID:nr7d2yZB0はバカだなって言ってるんだよ

97 ：

なんか些細な事で、必死になってる馬鹿がいるな
情報漏らされた負け組だから、負けって単語に過敏なの？

98 ：

底辺負け組会社で奴隷状態の某印刷会社社員さんが
必死なんでしょうねえ
まったくもって哀れナリ〜ｗ

99 ：

わかったよ
俺が悪かった
社員でもなんでもない
ただの野次馬だ

100read 1read

1read 100read

TOP カテ一覧 スレ一覧 削除依頼 ▲
・　次のスレ
クイズマジックアカデミー4問目＠同人板
DL同人　初動が一桁〜50未満の人が集うスレ
新・素裸男同人スレ17
【箱息子】同人誌通販雑誌 その22【急行】