今日3つの記事に気が付きました-「不正利用2200件、流出経路は特定できず アリコ会見」(2009年7月27日 朝日新聞)とセキュリティ専門サイトのSecurity NEXTで2009.07.28 「カード不正利用の検知件数が2200件に、内部犯行は未確認 - アリコの個人情報漏洩問題」、そしてインプレス社の「アリコ顧客情報最大13万件流出か、カード不正利用照会は2200件」です。
朝日新聞によると『同社は流出したとみられるカード番号などの情報は、08年5月ごろクレジットカード決済システムの動作をチェックするために本物の契約者情報をもとにつくった「テストデータ」である可能性があることを明らかにした。』、Security NEXT記事では『同社では外部専門家に相談しながら、流出の原因や経路の特定を急いでいるが、27日の時点で従業員が関与した形跡は確認されていないとしている。』
「テストデータ」に本物のデータを使ったために生じた事件は以前にも読んだことがあります(ブログのどこかに書いたかも知れません)。私も開発したプログラムなどのテストは苦労します。想定外の書込みを想定外とはしないように、考えられる限りのテストを繰り返したり、こんな文字列も使われる場合があるという氏名や住所に驚くこともあります。データベース プログラミングではありませんが、簡単なはずの電話番号ですら+81 55 237 1161も含めるように設定せねばならない場合もあります。山梨県庁の英語版ページはおそらくプロの目を経ているでしょう。とにかく、日頃からどういうイメージトレーニングを積み重ねているかで結果にもそれが反映されると私は思っています。
いまさらアリコの事件を書くつもりはなかったのです。Adobe Reader と Flash Player に脆弱性があり、これらツールについては当面の使用停止が求められています。米国時間で7月30日、31日に対策バージョンが公開されるようです。29日はマイクロソフトの臨時の更新があります。29日から数日は気が抜けないことになりそうです。2009/7/23 Flash Playerに新たな脆弱性、修正版は7月30日までに公開。以前にもアドビ社の問題を書きましたが、日本語版サイトのセキュリティ情報は更新が遅くて役に立ちません。だから官庁のWeb公開記事がみんなPDFファイルになっている、知らぬはなんとやら・・・というのは失礼で英語版記事も国語のように読解する優秀な官僚さん、知っていても予算が無くて一番安上がりの方法しか採用できないのか、日本国のICT意識なんてその程度なのでしょう・・・アリコの問題は事件になり報じられます、しかし決して表沙汰にはならなかった、管理者自身も気付かないような事例が官庁サイトに多数あってもおかしくない・・・
最近気になる、総選挙の時期、例年ウィルス関係で特異な期間になるお盆休みとも重なる、それに合わせた海外からのDoS攻撃、私の杞憂なら良いのですけど・・・先日は米韓向けだったようです?
