7月のナチュラムの漏洩事件ではやはりパスワードが平文で保管されていたようです。4月のサウンドハウスの事件でも、その後の私の調査によるとやはりパスワードは平文で保管されていたようです。

これはどんな問題かというと、パスワードが共通であったケースについておもに下記の二点があります。

• パスワードが漏洩し、犯罪がおきたとしてもそれが漏洩したことが原因で事件がおきたことが立証しづらい。
• カードについては保険会社が対応可能だが、パスワードについてはおおよそこれをカバーするような保険が存在しないし、立証の仕方も難しい。
  • 「誠に恐れ入りますが、他社サイト等と同一のパスワードやIDを使用していた場合による二次的な被害や補償に関しては行っておりません。」とのことでした。
    • おそらく上記について発生した犯罪は民事訴訟することによって賠償責任は発生すると思います。これは被害にあった人からだけではなく公開会社の場合は株主代表訴訟にもなりえますので公開会社はとくに気をつけた方がいいかもしれません。

歴史はまた繰り返す、といいますが、このような教訓は昔から事件になっているにも関わらず、いまいち理解されていないようです。サービスを監督されている方はもしこのような状況であれば今一度改善計画を考えたほうがいいかもしれません。

• サウンドハウス
  • http://slashdot.jp/security/article.pl?sid=08/04/04/0256218
• ナチュラム
  • http://headlines.yahoo.co.jp/hl?a=20080806-00000001-vgb-secu
• 楽天
  • http://neta.ywcafe.net/000124.html