CNET Japan: 楽天市場に出店しているAMCの取引情報漏洩事件、店舗の元社員を逮捕
警視庁ハイテク犯罪対策総合センターは10月24日、不正アクセス禁止法違反容疑でセンターロードの元社員を逮捕した。容疑者は橋本安弘(33歳)。調べによると、容疑者は5月11日から14日までの間、計27回にわたって自身が持つPCから楽天が管理するサーバに不正にアクセスし、個人情報を盗んだ疑いがある。この際、容疑者は楽天がセンターロードに付与したIDとパスワードを利用したという。
「容疑者は楽天がセンターロードに付与したIDとパスワードを利用したという」と説明されていますが、抜け落ちている内容があります。もともと今回の犯罪に使用されたPCは、楽天のサーバーにアクセスする権限がなかったのですが、あるミスによって、それが可能になりました。
そのミスとは、「センターロードの役員が、アクセス権限のあるPCが壊れたために、たまたま容疑者のPCを利用した結果、入力履歴が残っていた」とマスコミ報道されています。
また、さらに容疑者は楽天のサーバーへアクセスする際に、自宅や会社からでは通信記録から足がつきますので、外出先の無線LANを使用していました。その無線LANも「セキュリティ対策されていないアクセスポイント」だったようです。
- アクセス権限がないPCを使った上に入力履歴を残した
- セキュリティ対策が施されていない無線LANを踏み台にした
この2点は、いずれもハード的なエラーではなく、ヒューマンエラーです。今回のような個人情報漏洩の原因には、機械の故障やソフトのバグよりも、人間の操作ミスのほうが、むしろ多いのでないかと思います。