【サミタ個人情報大規模流出】3つの「ほしょう」 [ゲーム]
オンラインゲーム:サミー777town(サミタ)
を利用してる方は、みなさんご存知ですが、
11/10(水)に個人情報大規模流出事件が発生しました!
http://www.777town.net/20101114.html
簡単な概要はこんな感じ。
①11月9日、サーバのデータ異常値あり調査したところ、
11月10日に外部から不正侵入の可能性あり、緊急にサービス停止
②調査の結果、10月23日から不正アクセス攻撃があった
③1,735,841名のゲーム用ログインID、パスワード、メアドが流出、
個人情報は、姓のみ、名のみ、郵便番号の一部で、
各情報を紐付けることはできないので、個人を特定し得ないものと
株式会社エルテックスおよび第三者機関から報告を受た
④セキュリティ専門の第三者機関とともに、
エルテックスにおける運営管理の再点検およびセキュリティの強化を実施中
あえて静観してましたが、
システム開発・保守・運用、サーバ・インフラ関連保守・運用
の仕事している立場からみて、かなり疑問があるので、
今回必要な「ほしょう」について説明します。
1.「保証」 → 責任をもつこと(品質)
ユーザID、パスワード、メアドがセットで流出するとか、
ユーザ認証・データの持ち方など、システム設計不良としか思えない。
ファイアウォールを立てているようだけど、
設定が悪いのか?OSの脆弱性対策してないのか?
手抜きとしか思えない。
事故が起きた場合、原因と責任の所在を切り分けて、
ユーザ目線に立った迅速な復旧作業が必要だが、
責任の所在を明らかにしてない。
(お互い責任はないと主張しているように見える)
ユーザからみて、サービスを利用・契約した相手は誰なのか?
直接契約してるサミーネットワークスに説明義務・責任があるでしょ!
運用会社(エルテックス)を表に晒して責任押し付けても、
ユーザはエルテックスと契約した覚えはないし、ルール違反。
仮に運用会社に過失があるとしたら、
この会社選んで、運用も承認したサミーネットワークスの全責任です。
(運用会社は契約先のサミーネットワークスに対する責任・賠償が必要)
2.「保障」 → 守ること(安全)
今回の場合、10月23日から不正アクセスがはじまり、
11月10日に閉鎖とその間19日もあります。
リアルタイムでなくてもいいから、毎日1回程度は、
アクセスログ等のチェックをするなど、リスク管理が必要。
サーバのメンテなど、不具合、性能低下の繰り返し、
運用管理もしてない?
ある意味、放置しているからオペミスなどは起きないのか。
保身ばかり考えてないで、一番守るべきはユーザですよ!
3.「補償」 → 償うこと(賠償)
事故や異常の発生時の体制(報告、拡散防止・担当など)
をきちんとしていれば、10月23日からの不正アクセス放置や
ユーザへの情報開示など、的確にできたはず。
リカバリ(復旧)はいいが、二次災害の防止策はどうなの?
今週中のサービス再開はいいが、
ユーザID、パスワードはロック・初期化して、
個別に初期パスワード連絡するか、
ワンタイムパスワード発行とかが必要だけど、
宛先メールが乗っ取られていないことが前提。
もっと時間かかると思いますが・・・
このままサービス再開したら、その瞬間、
不正ログオンされて、個人情報取られ、最悪ですよ!
そして、ユーザの損失への対応は、
システム停止期間の補償はもちろんのこと、
もしもユーザIDが悪用された時の対応(24時間)や、
外部との連携(証明するなど)はされているだろうか?
ユーザからみると遅い情報開示、情報も少なく不安な対応。
今回のユーザのリスクは大きいですよ!
短く説明したかったんですが、長くなってしまいました(汗)
一番言いたいのは、
サミタは、忙しいサラリーマンには放置しても楽しめるし、
PCに張り付かなくても用事しながら遊べるし、
是非、頑張ってほしいオンラインゲームなんですよ!
なので、応援の意味も込めて、厳しく指摘しました。
これから改善に努力してください。
ってことで、
今後の対応も厳しく見つめていきますよ
を利用してる方は、みなさんご存知ですが、
11/10(水)に個人情報大規模流出事件が発生しました!
http://www.777town.net/20101114.html
簡単な概要はこんな感じ。
①11月9日、サーバのデータ異常値あり調査したところ、
11月10日に外部から不正侵入の可能性あり、緊急にサービス停止
②調査の結果、10月23日から不正アクセス攻撃があった
③1,735,841名のゲーム用ログインID、パスワード、メアドが流出、
個人情報は、姓のみ、名のみ、郵便番号の一部で、
各情報を紐付けることはできないので、個人を特定し得ないものと
株式会社エルテックスおよび第三者機関から報告を受た
④セキュリティ専門の第三者機関とともに、
エルテックスにおける運営管理の再点検およびセキュリティの強化を実施中
あえて静観してましたが、
システム開発・保守・運用、サーバ・インフラ関連保守・運用
の仕事している立場からみて、かなり疑問があるので、
今回必要な「ほしょう」について説明します。
1.「保証」 → 責任をもつこと(品質)
ユーザID、パスワード、メアドがセットで流出するとか、
ユーザ認証・データの持ち方など、システム設計不良としか思えない。
ファイアウォールを立てているようだけど、
設定が悪いのか?OSの脆弱性対策してないのか?
手抜きとしか思えない。
事故が起きた場合、原因と責任の所在を切り分けて、
ユーザ目線に立った迅速な復旧作業が必要だが、
責任の所在を明らかにしてない。
(お互い責任はないと主張しているように見える)
ユーザからみて、サービスを利用・契約した相手は誰なのか?
直接契約してるサミーネットワークスに説明義務・責任があるでしょ!
運用会社(エルテックス)を表に晒して責任押し付けても、
ユーザはエルテックスと契約した覚えはないし、ルール違反。
仮に運用会社に過失があるとしたら、
この会社選んで、運用も承認したサミーネットワークスの全責任です。
(運用会社は契約先のサミーネットワークスに対する責任・賠償が必要)
2.「保障」 → 守ること(安全)
今回の場合、10月23日から不正アクセスがはじまり、
11月10日に閉鎖とその間19日もあります。
リアルタイムでなくてもいいから、毎日1回程度は、
アクセスログ等のチェックをするなど、リスク管理が必要。
サーバのメンテなど、不具合、性能低下の繰り返し、
運用管理もしてない?
ある意味、放置しているからオペミスなどは起きないのか。
保身ばかり考えてないで、一番守るべきはユーザですよ!
3.「補償」 → 償うこと(賠償)
事故や異常の発生時の体制(報告、拡散防止・担当など)
をきちんとしていれば、10月23日からの不正アクセス放置や
ユーザへの情報開示など、的確にできたはず。
リカバリ(復旧)はいいが、二次災害の防止策はどうなの?
今週中のサービス再開はいいが、
ユーザID、パスワードはロック・初期化して、
個別に初期パスワード連絡するか、
ワンタイムパスワード発行とかが必要だけど、
宛先メールが乗っ取られていないことが前提。
もっと時間かかると思いますが・・・
このままサービス再開したら、その瞬間、
不正ログオンされて、個人情報取られ、最悪ですよ!
そして、ユーザの損失への対応は、
システム停止期間の補償はもちろんのこと、
もしもユーザIDが悪用された時の対応(24時間)や、
外部との連携(証明するなど)はされているだろうか?
ユーザからみると遅い情報開示、情報も少なく不安な対応。
今回のユーザのリスクは大きいですよ!
短く説明したかったんですが、長くなってしまいました(汗)
一番言いたいのは、
サミタは、忙しいサラリーマンには放置しても楽しめるし、
PCに張り付かなくても用事しながら遊べるし、
是非、頑張ってほしいオンラインゲームなんですよ!
なので、応援の意味も込めて、厳しく指摘しました。
これから改善に努力してください。
ってことで、
今後の対応も厳しく見つめていきますよ
コメント 0