関西 DTP 大手のカンプリで顧客情報漏洩 23
ストーリー by reo
やっちゃった感がありありな 部門より
やっちゃった感がありありな 部門より
ある Anonymous Coward 曰く、
京阪神を中心に、コピー・出力サービスチェーンを展開するカンプリグループで、版下を送信する Web アプリに欠陥があり、他の入稿者がフォームに入力した情報すべてと、原稿と一緒に発注書もアップロードした場合は発注書内の個人情報も閲覧可能であったことがわかった (オレンジ工房・カンプリ系列情報漏洩問題まとめ) 。
現在はアップロードフォームを停止しているようだが、アップロードされたデータの削除などは行われていないという情報もある。
コミケ関係者が大打撃なのだそうな (スコア:4, 興味深い)
出版物をコミックマーケットで販売するために印刷を依頼してた人たちが、
その商品とも言えるマンガをインターネット上に公開されたばかりか、
その人たちの本名や住所まで漏れてたとのことです。
うちは印刷会社のSEなのですが、先日もISO27001の審査を受けたばかりで、
他人事とは思えないこういう事件が、うちの会社で起きないように案じています。
Re:コミケ関係者が大打撃なのだそうな (スコア:1)
「どの道通販で必要なので、本名や住所は公開せざるを得ない」
「こちら(作り手)が印刷費を負担しないで頒布してくれるなら願ったり叶ったり」
という感覚なのですが、時代は変わったものです。
Re:コミケ関係者が大打撃なのだそうな (スコア:1)
印刷代払う前に公開してくれたならね。
印刷代取られた後にやられると困ると思う。
印刷事業者の意識 (スコア:4, 興味深い)
身近に印刷業関係者が多いので、ぞっとする事がよくあります。
特に、小さな印刷屋がこぞってWebに手を出した時期の亡霊が恐ろしいです。
例えば6~7年前に作られたASPの受注フォーム。
印刷で付き合いのあった顧客企業から相談されて、
解説本片手になんとか作り上げたそれが、未だに現役で動いています。
SQLインジェクションなんてし放題で、
過去の注文情報全てが閲覧できる管理画面には、簡単な認証すらありません。
推測しにくく長ったらしいアドレスというだけです。
改修を薦めても、「まあ大丈夫だよ」で終わりです。
或いはウイルス対策。
印刷屋さんから持ち込まれるUSBメモリやHDDには、
他と比べても高い確率でautorun系のウイルスがいます。
持ち込まれる度に指摘し、対策を薦めますが、
「作業が重くなる・実害は無い・コストが馬鹿らしい」
という理由で採用されません。
印刷屋特有ではなく、小規模な企業の一般的な傾向かも知れません。
大量の機密情報を、ロックも無いUSBメモリで、
ポケットに入れて持ち歩く労務士というのもいました。
ただ、Web屋への転換を模索していた時代の残滓みたいなものを、
印刷業ではより多く抱えているように思います。
はまちゃんの時から改善されてないなぁ (スコア:3, 興味深い)
未だに「脆弱性発見→担当者に連絡しても返事を濁す→なら2chで公開だ」の流れが続いているんですね。
本来ならIPAあたりが、関係者の間を取り持ってを担ってほしかったな。
http://d.hatena.ne.jp/Hamachiya2/20070203/ipa4 [hatena.ne.jp]
「犯罪予告は110、脆弱性はIPA」ぐらいの習慣づけが情報科授業であってもいいと思います。
Re:関係者の間を取り持って (スコア:1)
一人のユーザとしては、ネットのセキュリティに関する事案で、
IPAが関係者間の調整まで取り持ってくれたら嬉しいなぁ、
という気持ちには、激しく同意せざるを得ないのですが。
ただ、法律絡みとか利害関係、ぶっちゃけお金の話が絡んでくると、
そこまで面倒は見きれんだろうなぁ、という気もします。
ある意味、浮世を離れた技術の世界で、ネットの平和を守るために、
全力で頑張っているみたいな。
「ここまでは技術的な話題だから面倒見るけど、こっから先は関与しないよ?」
というような、きれいな線引きも難しいだろうし。
はまちゃんの時から? (スコア:0)
もっと前からなはずだが。
DTP大手? (スコア:3, 興味深い)
DTP大手と聞いて、いわゆる出力センターのこととは想像できなかった。DTPって活版や写植と対比して使われる語だから、組版作業のことだと思い込んでいた。DTPは原則としてユーザの手元でおこなう作業だろうし、大量なら出版印刷の印刷所が取り扱うだろうし、DTP単独で大手の企業が存在するのかと悩んだ。マンガ原稿をPCで描いても、DTPとはあまりいわない気がするし。印刷所で大手といったらDNPか凸版のことだし。
オレだけ?
いや、揚げ足を取って申し訳ない。自分の語感がズレているのかと気になってしまって。
Re:DTP大手? (スコア:2)
この場合「オンデマンド印刷大手」がよいかと。
# マンガ原稿をPCで描くことをDTPというのにはそんなに違和感ありません。
Re:DTP大手? (スコア:1, 興味深い)
DTPを生業としている者としては…
DTP大手と言う言い方だと、nmaedaさんと同じく違和感がある、組版屋のような印象を受ける。
ACのいう、AdobeはDTP大手と言うのは、ある意味納得がいく、DTPソフト大手の方が丁寧だけど。
kamiyanさんのいう、オンデマンド印刷大手と言うのにも違和感がある、(今回はじめて知ったけれども)カンプリと言うところのページを見ると、印刷以外もやっていて店舗渡しも出来るこういう形態のは、出力センターというのが一番良いと思うよ。
ちなみに、今回問題になっているグループ企業では、オレンジ工房(印刷屋)、ゆず工房(グッズ屋)とかもあって、それらを全部ひっくるめた時の呼び方として、DTP大手はやっぱり違和感あるなぁ。
印刷関連企業グループ、とかの方がわかりやすいと思うな。
Re: (スコア:0)
DTPに何も関わっていない身です。この会社は知りませんでしたが
キンコーズ [kinkos.co.jp]なんかもDTP大手、で納得しますね。自分だけかもしれませんが。
制作から印刷まで、どこかに掛かっていればDTP関連会社ということではないでしょうか。
# DTV/DTM大手とか言われると何一つわからないから、DTP屋さんからするとそういうことなんだろうな
# ということはAdobeもDTP大手ナノカ?
まとめを読むと (スコア:1, 参考になる)
フリーCGIの掲示板を「改造」して顧客からのデータアップロード用に使ってたけど
セキュリティ自体存在しないだだ漏れ状態だった、ということか。
「改造」ってなんだろ。見た目を変えただけかな。
#フリーCGIの見た目を変えるだけの仕事を企業から受けたことがあるのでAC
Re:まとめを読むと (スコア:1, 参考になる)
ファイル本体をダウンロードさせるための掲示板の、コメントや名前を書き込む欄を電話番号等を書き込む欄に改造。
掲示板として出力される部分をコメントアウトしていただけなので、ソースを見れば情報全てが丸見えという状態。
つまり、1度でもアップロードシステムを使った人は短時間かもしれないし、誰も見なかったかもしれないけれど、誰でも情報が見られる状態にされていたということです。コメントアウトしていたということは、作った人は丸見えなのわかっていたということですし。
だから漏洩でもなんでもなく、モロ出しなんだよね。
Re: (スコア:0)
<!-- これ(HTMLのコメントアウト)なんですね -->
/* こっち(内部コードのコメントアウト)じゃなくて */
出版印刷業界の中の人だけど信じられない
# それ改造やない、CMSにテンプレくっつける程度の話や。
そんなときこそ (スコア:0)
右クリックを禁止するスクリプトの出番ですね、わかりm(ry
あぁ (スコア:0)
カンプリって高速漢字プリンタのことじゃなかったのねw
それだけなのでAC
Re: (スコア:0)
Re:あぁ (スコア:1)
元京都民としては、関西文理学院 [wikipedia.org]は外せません。
Re: (スコア:0)
Re: (スコア:0)
さすが品質や客対応は二の次のことだけある (スコア:0)
情報管理に関してもずさんですねぇ
ここは価格しか見ない人しか使わないんですよねぇ