個人情報52万件不正入手か、中国人留学生を逮捕
旅行会社「クラブツーリズム」(東京都新宿区)のホームページ(HP)が不正侵入され、最大約9万人分の顧客情報が流出した問題で、警視庁ハイテク犯罪対策総合センターは6日、都内の私立大に在籍する中国人留学生の東京都豊島区西池袋、郁華容疑者(27)を不正アクセス禁止法違反の疑いで逮捕したと発表した。
郁容疑者の自宅のパソコンを解析した結果、同社以外にも13社のサーバーに不正侵入し、計約52万件の個人情報を不正に取得した疑いが強いことが判明、同センターで余罪を追及している。
ホームページへの不正アクセスによる情報流出事件としては、過去最大規模になる見通し。
調べによると、郁容疑者は今年3月15〜17日、自宅のパソコンを使って、クラブツーリズム社のホームページから同社のサーバーに侵入、同社の会員の名前や住所、ID、パスワードなどの個人情報計約16万件を盗んだ疑い。
同センターによると、このほか、郁容疑者は今年4月中旬〜5月初旬にかけて、価格比較サイト「価格コム」から約9万件、5月中旬には、人材派遣会社「アデコ」のホームページから約8万件、1月初旬には、静岡新聞が運営する就職支援サイトから約4万件の名前やメールアドレスなどの個人情報を盗み取っていた疑いが持たれている。
このほか、DVDの通信販売業者や旅行会社など10社のホームページからも、会員らの個人情報が盗まれたという。このうち、クレジットカードに関する情報が、三十数件流出しているという。
郁容疑者のパソコンには、インターネットを通じて、盗んだ個人情報を迷惑メール送信業者などに売却していた形跡も残されており、同センターで解明を急ぐ。郁容疑者は調べに対し、大筋で容疑を認めており、「学費を稼ぐためだった」などと供述しているという。
郁容疑者の手口は、標的とする企業のホームページ上で、特殊な攻撃プログラムを実行し、サーバーに異常を起こさせることで、自動的に個人情報などを流出させるというものだった。この攻撃プログラムは昨年、中国国内向けサイトで使用方法が公開されていた。郁容疑者は、インターネットからこのプログラムをダウンロードして使っていたという。
(2005年7月6日14時10分 読売新聞)
多分こういう支那人の犯罪のニュースは当たり前のように日常化するんだろうなあと思いつつ。
この支那人ハッカーと呼ばれるほどスキルの高い人物だったのだろうか?
SQLインジェクションによる攻撃が増えているのはなぜか。
A SQLインジェクションという手法自体は以前から知られているが、
攻撃件数は2004年秋ごろから急増した。これは2004年10月ごろに、
中国でSQLインジェクションを用いた攻撃用ツールが出回ったためだ。
SQLインジェクション攻撃が可能な、脆弱性を抱えたサイトを調べるツールや、そういった サイトを簡単に攻撃できるツールなどが公開されたのだ。ツールの使い方さえ分かれば、
Webサーバーの背後で動いているデータベースに
不正なデータを挿入したり、そのサーバーのディレクトリ構造が
丸裸にできる。こうした自動化ツールの出現により、攻撃の敷居が一気に下がった。
実際はどういうレベルかは分からないが、かなり自動化されてお気軽に個人情報が盗み取ることが出来るらしい。
何で企業の個人情報データ・ベースがネットに繋がっている環境下にあるのかと言うことも疑問だが。電子DMとか送るため?
こんなにも、あっさりとハッカーとも呼べない素人に個人情報を抜かれると、企業の側にも責任は重い。こういうセキュリティー部門って、SEとかの技術のある社員がやっているのだろうか?それでも、畑違いだよね。
企業は金かけてでもハッカーを雇いなさい。
ハッカーの技術って日進月歩だし、イタチごっこ。ひとたび便利なツールが開発されれば、数日数時間のうちに個人情報はブッコ抜かれちゃう。ハッカーに24時間監視してもらうしか防御できないよね。
元ハッカーの人がセキュリティー事業に進出して利益を上げているというのをTVで見たが、そういう商売は今後も伸びるんじゃないかな。
ま、一番良いのは、物理的隔離だと思うんだけどなー。企業は個人情報を札束扱ってんのと同じ感覚で扱うべきだよ。
中国国内における、記者会見場においても、誰かが、中国外務省孔泉報道官に聞いてみてほしいです。