【顧客】ネットショップのセキュリティー【情報】

1 ：02/01/07 〜 最終レス ：2013/06/05

さきほどこのようなｽﾚがニュース速報板で立ち
論議をかもしています。どうやらI−MODE通販の顧客情報が
簡単に手に入ってしまう物なのですが、私は面白がって
ついついスレッドが立ってから数件顧客情報を見てしまいました。
このことについて
�@情報を見たら犯罪になるのか？
�A技術的には設計者またはｻｲﾄ運営者に落ち度がないのか？
�Bこれからこのセキュリティーをどうすべきか？
について専門的な観点から意見を聞かせてください。
犯罪者になってしまうのが、一番気になるんですけどね･･･
参考ｽﾚ
http://choco.2ch.net/test/read.cgi/news/1010387528/l50

2 ：

まじなんですよ・・・

3 ：

　

4 ：

1. 罪になりえる、というより相手がどうするのかってのが問題か
2. 全く無いとは言いきれない 顧客に対しての責任という意味ではあると思う
3. 普通(？)はサイト管理者に報告するんだろうな 勇気要るけど
以上、終了。

5 ：

>>4
ｶﾞ━━━(ﾟДﾟ;)━━ﾝ
やっぱり・・・

6 ：

>>1
これは罪にはならないでしょうよ。
どっちかっつーと罪に問われるのは、個人情報とかを安易に入手できる場所においていう方であって。
パスワードで秘匿されている場所に置かれているものを、不正な手段で入手したのであれば、
きっちり当てはまるけど。

7 ：

>>1
罪にならない。>>6のいっているように
パスワードで守られたエリアに進入したら、不正アクセスになる。
よくフリーのＣＧＩなんかでログの名前をかえないでそのまま
使っているのを。除いてしまった場合も罪にならない。
その情報を悪用したら罪になるのは当然だが。

8 ：

しっかし、パーミッション設定せずにファイル名も
デフォルトのままで使ってる管理者のなんと多いことか？
スゴイな〜これは、
>技術的には設計者またはｻｲﾄ運営者に落ち度
ありありでしょう。
顧客台帳が、お店の陳列棚に並べてあるようなもんだ。

9 ：

CGIモンキーって奴だな。。

10 ：

pastono.dat
petit.log

11 ：

うひゃー、なんで罪にならないって言いきれるの？
自分の過去の経験から？ そんなの何の根拠にもなんないよ…。
例えば、
「CGIスクリプトのデフォルト設定のログファイル名を使って顧客情報を覗いた」
場合と
「周知の(例えばOSの)脆弱性を利用して顧客情報を覗いた」
場合の明確な違いは？ 俺には分からん。駄目管理者なのは分かるけど。
どちらのケースも顧客情報を見る為に「何らかの努力」をしている。
だから今回のケースも灰色。もしかしたら濃い灰色かも。
でもそれを決めるのは司法の仕事ってことね。
過去に判例が無いとかで罪にならないと決めつけるのは危険。
別に>>1を怖がらせる為に言ってる訳じゃないよ。
でも面白半分でこういうことをやって捕まるのは嫌だろうから
これからはやっちゃ駄目だよ。

12 ：

なんかあったときは一応参考人としてIP調べられて事情聴取ぐらいは取られるかも？

13 ：

>>11
うーん　いまいち説得力に欠ける

14 ：

>>11
不正アクセス防止法条文みてみそ

15 ：

>>11
インターネットという公然な場所に
本来秘匿すべき情報を陳列したら
陳列した人間の方が罪に問われるのは当然でしょう。
ストリーキングのお姉ちゃんが走っているのを見たら、
見た方をコウゼンワイセツ罪でしょっ引けるんですか？
そもそも、.htaccessなりで、csvやdatの参照が出来ないようにすることだって出来るし、
方法はいくらでもあるというのに、こんな風に顧客情報だの個人情報だのを
抜かれる愚かさを嗤うべきであって、たまたまそれを発見したものを
どのような法律でとがめるというのでしょうか？
>>14
のいうとおり、不正アクセス防止法は、その根拠にすらなりませんが。

16 ：

>>15
＞ストリーキングのお姉ちゃんが走っているのを見たら、
＞見た方をコウゼンワイセツ罪でしょっ引けるんですか？
俺がそのような意味の文章を書いたの？
あえて例えるなら、
「スカートの中が覗けるまで屈むのは無実？」
という感じだと思うけど。当然スカートの中を見ること自体は問題無い。
階段を上る時上を見たらたまたまパンツが見えた、なんてのはありがち。
これも例えとしては適切じゃないけど。
＞抜かれる愚かさを嗤うべきであって、たまたまそれを発見したものを
＞どのような法律でとがめるというのでしょうか？
>>1が発見したとはどこにも書いてないよ。
ここで書いてるのは>>1の行為がどうかってことじゃないの？
その場合不正アクセス防止法以外が適応される可能性だって
0% じゃ無いんだけど。
件のサイト管理者に全く落ち度が無いなんてことも俺は言ってない。
だからといって「鍵が開いている家に無断で入るのは良いのか？」なんて
屁理屈を言うつもりもない。
ただ、>>1が顧客情報を見る為に何らかの努力をしたのは事実。
間違っても顧客情報を保存したログファイルにリンクが張ってあった訳じゃないんだから。
この辺をどう判断するのかは司法の仕事ってのは前に書いた通り。
でもって、こういう問題を「罪にならない」と言い切るのはどうなのか、と。
法律の専門家でもなければ言い切るのは止めた方がいいんじゃないか、と。
だから俺は「灰色」という曖昧な返事をしたわけ。法律の専門家じゃないからね。

17 ：

どーでもいいじゃん。飯食って寝よ

18 ：

>>16
>>1は
＞について専門的な観点から意見を聞かせてください。
＞犯罪者になってしまうのが、一番気になるんですけどね･･･
ていってるよ。法律かネットワークに対する専門知識がないんだったら
黙ってれば？
ていうのはちょっと意地悪な答え。
＞ただ、>>1が顧客情報を見る為に何らかの努力をしたのは事実。
＞間違っても顧客情報を保存したログファイルにリンクが張ってあった訳じゃないんだから。
＞この辺をどう判断するのかは司法の仕事ってのは前に書いた通り。
＞でもって、こういう問題を「罪にならない」と言い切るのはどうなのか、と。
正直、この件に関して
「罪になる可能性は否定できない」という論調の話をするのは明らかに
ミスリーディングだからおよしなさい。
あなた自身がいっているように、
＞という感じだと思うけど。当然スカートの中を見ること自体は問題無い。
＞階段を上る時上を見たらたまたまパンツが見えた、なんてのはありがち。
＞これも例えとしては適切じゃないけど。
ということで、この件で罪を問わなかった判例がある。いくらでも自分で調べてくれ。
とにかく、この件が「罪になるかもしれない」
という以上、その論拠になる「法律」を指摘しなくてはいけないはずなのに、
あなたはそれをしないで、ムードだけで話しているじゃない？
とにかく、この件引っ張るんだったら、該当する法的根拠ね、下さい。

19 ：

これって単にアドレス打ち間違えちゃったら
顧客情報が見れちゃったということでしょ？

20 ：

これかな？ → http://www.rescue.ne.jp/cgi/icargo/
以前任意のファイルが削除できるセキュリティホールが指摘されたCGIだね。
この穴についてはいまはふさがれてるけど、こんな穴もあったのか。
http://www.ansi.co.jp/tech/cgi/security/advisories/cargopro_2001_01_20.txt
>>19
打ち間違いじゃない。公開されているCGIのデフォルト設定だから、
CGIのソースを見ればわかること。これはCGIを設置した人間も馬鹿だし、
こんな危険な設定をデフォルトにしてしまったCGIの作者も馬鹿。
この手のデータファイルを置く場所はパスワードをかけるとかいう以前に、
Web経由でアクセスできない場所(public_html の外)に置くのが鉄則。

21 ：

>>20
私もそう思う。
ゆえに見られたCGI設置ECサイトの責任だと思う。
見て、情報入手しただけは、罪にはならないが、
悪用すれば罪になる。

22 ：

ニュース速報板にはもうないのかな？

23 ：

>>22
ここのスレッドの1にもリンクあるよ
書き込みできないから、ニュース速報板のスレッド一覧にある

24 ：

http://headlines.yahoo.co.jp/hl?a=20020108-00000001-vgb-sci

25 ：

CGI 配布元の http://www.rescue.ne.jp/cgi/icargo/ に警告が出たね。
>/tmp/フォルダはWebからアクセスできない場所に配置するか、
>それが不可能な場合は添付の.htaccessをこのフォルダに設置してください
でもデフォルト設定は変わっておらず。

26 ：

なんともお寒いですなぁ・・・
https://www.netsecurity.ne.jp/article/1/3688.html

27 ：

馬鹿にしてたけど、人のことは言えんな〜…。
この情報見て、ふと自分サイトはどうなんだろ？っと確認したところ、
掲示板のCGIのログファイルの過去ログ用のだけ、読み取りフリーになっとった。
ウチのはIPアドレスぐらいしか覗けないけど、完璧だと自負してたのが
現実は厨房だったよ。はぁ、逝ってこよう…。

28 ：

リストを見てもどれを購入したかわからないけど、
購入した商品を知る方法ってあるの？

29 ：

>>18
顧客リストの電話番号に電話して、店の名前を騙り聞き出す

30 ：

>>29
その方法ではパクられそうだね。
店ではログ見てどうやって希望の商品を判断してるんだろう？
やっぱ別ファイルなのかな？

31 ：

>>30
前スレに別ファイルがあるからマッチさせるような事が書いてあったよ。

32 ：

>>31
了解！調べてみます。

33 ：

>>32
調べてもリンク貼ったり教えたりしてくれなくていいからね。
一応さっき言った前スレはこれのこと。28考えて行動してね。ﾅﾝｶｷｹﾝ
>カタログのコードと、csvファイルのコードを比べると、何を買ったか判るよ。
>具体的には、ヤバイから書かないけど。

34 ：

ﾆﾔﾘ

35 ：

>>34
スッドレスットパー。

36 ：

塩田丸男は、成美が橋田朝ドラ降板した理由を、
「ドラマが戦争のシーンになっていく中で、在の成美が天皇万歳派のスガ子の脚本
に納得できなくなった」というふうに言ってしまってほされたんだＹＯ。

37 ：

今回のケースで、見ただけで罪になるんだったら、
1ch.tvのログ流出騒動のときに、
ログを見た人間、cgiを見た人間、すべて逮捕だよなあ…。
いおた大喜び。

38 ：

あとも一つ。
今回のcgiをそのまま使って、顧客情報ファイルを用意して、
パスもかけずに放置しておいて、見にきた奴がいたら、即訴えて金取る。
痴漢訴訟の女子高生みたいなやり方は、どう？

39 ：

できるわけねーだろ。アホ。

40 ：

>>38
示談に持ちこむのは有り得るかもね。
法的根拠はないんで訴訟になったら即負けだけど。
痴漢訴訟の女子高生の場合なんかも、
実際に訴訟になったらアイツらには旨みが無いわけで
駅裏とかで示談交渉するのが、そもそもの狙いだし。

41 ：

レベル低いね〜ココも。

42 ：

>>41
>レベル低いね〜ココも。
…とわざわざ書いてみて、暗に自分のレベルの高さを
誇示したくなる程度のレベルなんですね？あなたも。

43 ：

>>42
そうそう。
安い自己満足だよな。

44 ：

※やり方（成功率70%以上、自己責任で）
１）まずは↓ココをクリック。
　　http://www.google.com/search?q=icargo.cgi&hl=ja&lr=
２）検索でヒットしたホームページに飛ぶ。
３）例えば検索でヒットしたページが↓のようなURLだとする。
　　「http://www.google.com/cgi-bin/icargo.cgi?form=menu」
４）↑のURLのicargo***の部分を「tmp/addr.csv」に置き換える。
　　例「http://www.google.com/cgi-bin/tmp/addr.csv」
５）Enterキーを押すと顧客情報ファイルを見れます。

１のリンク先の１＠ｺﾋﾟﾍﾟ

45 ：

インターネット上に放置される個人情報　いまこそ行政の注意喚起を！（Scan） (10日13時34分)
http://headlines.yahoo.co.jp/hl?a=20020110-00000002-vgb-sci
「i モード EC サイト個人情報流出事件」ではなにがおきたのか？（Scan） (10日12時33分)
http://headlines.yahoo.co.jp/hl?a=20020110-00000001-vgb-sci
多数の i モード EC 構築用CGI で個人情報が多数流出の危険（Scan） (8日8時21分)
http://headlines.yahoo.co.jp/hl?a=20020108-00000001-vgb-sci

46 ：

>>44
できるやんｶﾞ━━━(ﾟДﾟ;)━━ﾝ

47 ：

ま〜これ、すべての管理者が対応するまでには
かな〜り時間かかるだろ〜ね。

48 ：

そのまんま放置でトンズラもいるかもね。
使ってる業者見てみたら。

49 ：

バイーブ買ってる可愛い子
想像しながら(;´Д｀)ﾊｧﾊｧ

50 ：

今回の一件、社内のcgi屋に対して良い反面教師になってくれた。
「ﾊﾞｲｰｳﾞ買ったのバレバレなんだぜ。」これ最強デシタ。

51 ：

ショッピングバスケットの最新版のダウンロードにE-mailが必要になってしまった。
どこかに落ちてないかい？古いバージョンでも可。
ttp://www.rescue.ne.jp/cgi/icargo/

52 ：

>>51
あーあ、レスキューさんとこ、落ちてるよ(笑)

53 ：

あげとき。

54 ：

芋版じゃないほうでも大体一緒でしょ。
改定履歴に汚染チェック追加とあるので、古いの使ってるところは…
しかしレスキューもminiBBSの頃から攻撃対象にされてるのに進歩がないなぁ。
*

55 ：

ﾌﾟﾌﾟ

56 ：

この板でのこのスレののびなさは、
ものがわかっている人の多さだと思ってある意味心強くはあるけど、
反面、寂しいことでもあるよな。
こういうことを肴に、というこ気の毒な人もいるわけだけど、
ちょっくら話なんかしてみたいって思う気はあるんだけどな。

57 ：

ま、こういうCGIの穴は以前から知ってる人は知ってるしな。
だからってそれを使って何する？ってな話になると
足がつきそうな話にしかならんという現実問題がね。。。
見て楽しむ分にはいいが、ことが事件に発展するとなると
権力機関の力技の前には小手先の技なんて消し飛んでしまうし。

58 ：

入手したデータを売り飛ばすと何らかの法に引っかかる?
または元スレの1のような情報を売り飛ばすことは?
これは安全な活用方法だと思うが…*

59 ：

ん？

60 ：

age

61 ：

アスキーは監視されてるから、ここ地下スレにしようぜ。

62 ：

>>61
地下スレ過ぎて誰も来ないんじゃない？。しかしこの板dat落ちしないな。（ｗ

63 ：

これで2人か… age厨来ると困るし。

64 ：

空間鍵のアダルトグッズ購入者2000人リストは正直感動した！！
女性が8割程いましたぜ(;´Д｀)ﾊｧﾊｧ

65 ：

人数はしょぼいけど、女子大生が学校のメアドでバイブ購入したショップあるぞ。研究室まで判明しちまう。 (w

66 ：

>>64　>>65
非常に興味ありです。
見てみたいぞ！！

67 ：

あそこまで詳細だとなぁ、人生変わっちまうかも知れんし公開はためらわれる。
PGPの公開鍵貼ればｺｿｰﾘ教える。(2ヶ月前なんで対策済かも)
>>64 落としそこなった、おいらも見たい。

68 ：

ハローツアーの211。目印カキコ。

69 ：

>>68
来たよfromハローツアー
ここはsageでいこうね

70 ：

さげ

71 ：

よかった発見。ちゃんとこっちにも晒しますね。前回は懸賞板だけのつもりがあんなことに

72 ：

ハローツアーの122っす。

73 ：

ハローツアーの122って？
もう少しヒントちょ。

74 ：

↑ｱﾌｫ ﾊﾞｶ 間抜け

75 ：

あーぁ 馬鹿が来たんでここも廃棄か。

76 ：

晒すなら、土日まで我慢しる！

77 ：

68です、ここもダメになりました。。ヒントがいけなかったみたいでスマソ。
ここは廃棄して本スレに戻ります。
（この板で100落とすのに何日かかると思ってるんだろう・・・。）

78 ：

かなりスレ違いだが、
ttp://www.tupmatu.com/the.htm
このサイトにはびっくりした。
こういうのは、もっとこっそりとやるもんだと思ってた。

79 ：

ttp://www.narukan.com/cgi/member.dat
ttp://cgi1.synapse.ne.jp/~sei362ak/mailme/member.dat

80 ：

ttp://cgi1.synapse.ne.jp/~sei362ak/mailme/member.dat
ちょっとﾜﾗﾀ

81 ：

申し訳ございません。
member.dat の変換ＰＧを作成途中です。
(DAT2CSV)
検索キーを教えてください。m(x x)m
あと、あぷろだもおながいします。

82 ：

あっちがあがったので次はここにしませんか？

83 ：

>>82
賛成

84 ：

それにしても、なんであがったかなー
不思議だ

85 ：

超小物れすが。。
ttp://www.lifetrust.net/formzb/

86 ：

ttp://www.kousai.com/nyuukai.html

87 ：

ttp://deai.for-ladies.com/josei/index.html

88 ：

deai.for-ladiesのほうはわかりません。
てゆうかわかった人いる？
交際のほうはこれ。
ttp://www.kousai.com/id.html
信じられんセキュリティだ。。

89 ：

やっぱりここだ！みんないるのね。安心

90 ：

>>87
R

91 ：

>>90
義兄が弁護士の方ですか（ﾌﾟ

92 ：

>>90
最新技術を使った詳細なアクセスログをとっている方ですか？（ﾌﾟ

93 ：

宣伝野郎がウザイと思っただけですが。。。

94 ：

>>93
あら、そうなの。ｽﾏｿ。

95 ：

>>http://www.asagao.sakura.ne.jp/~ksm/strange/bbs.cgi
このサイトがまるみえ。
宣伝ぢゃないよ、パーミッションの設定ミス。

なにこれ？

96 ：

>95
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)

97 ：

>95
最近の過去ログよんだ？

98 ：

http://www.mountaintrad.co.jp/
ここ、やっと見えなくしたようですね

99 ：

上のスレでは自治厨と夏厨がバトルしていますね
ここはマターリやりませう

100read 1read

1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

【VB】ウイルスバスター2006 Part30【TrendMicro】 (535)
i-フィルターを解除したい (834)
踏むとフォーマットされるヤバイ画像対策専用スレ (792)
クラックしかけてくる奴の国名ランキング(日本除く) (851)
GENOウイルススレ(Gumblar,Martuz,JSRedir-R) ★22 (128)
アンチドートを語ろう♪ MAP05 (180)
--log9.info------------------
【全国LIVE】 倉木麻衣 part327 【 “RE：” 始動】 (876)
◆なぜ中森明菜は百恵と聖子に負けたのか？◆ (126)
【6月】歌手としての中川翔子18【新曲】 (824)
きもきもなっつんこと関奈津子は天才 (333)
笹川美和ってすごい！：9 (721)
■■■MISIA Part92 秋TOUR■■■ (841)
《　松任谷由実　52　》 (509)
bomi (202)
♪宇多田ヒカル統一スレ・パート392♪ (337)
【義援金詐欺疑惑】柴田淳 Part.161【引退勧告】 (765)
KOKIA Part.116 (400)
今井絵理子 70 〜LOVE in your HANDS！配信中〜 (419)
YUKI part.144☆★BEAT GOES ON★☆ (192)
■　移転ですー (295)
Rihwa Part1 (373)
福原美穂　part7 (158)
--log55.com------------------
安倍批判スレが多すぎる
【悪質】日本大学と安倍総理【タックル】
安倍総理は意味無く嘘をつく
５年もあったのに少子化に歯止めかからなかった安倍
【文化人放送局】 日本の病巣を斬る！★1
駅のホームから線路へダイブ♪有り難うアベノミクス
安倍ちゃんの制裁解除で北朝鮮ミサイル開発が進んだ
安倍｢『そもそも』の意味を辞書で調べた｣←嘘だった