35

あいうえ55 @aie2373
堺市個人情報流出の件の14日発表の文章を読むと、検索エンジンが取得してキャッシュサーバで公開していたデータへアクセスした者の総数は考慮されず調査が進んでいるように思う。  特にサーバ停止後はキャッシュサーバのみにしかアクセスが来ない。
あいうえ55 @aie2373
また、アクセスした者の中に最低1人の善意の 通報者が含まれることも明示されていない。
あいうえ55 @aie2373
公表したのは自分なんやから、最後まで責任持って1人でやれってか?それでは報われない。赤文字で書いたように職員のセキュリティ意識を向上しなければ市民のマイナンバー運用が相当危険だと思ったから公表した。明らかになるにつれ、やっぱり現状は相当危険な情報の扱い方だと分かった。

あいうえ55 @aie2373
いや、だから俺が発見してJPCERT以外にもセキュリティ関連部署へ通報したんやけど。当時も今日も、土日はどこも休みで進捗が止まって困る。もう半年も経った・・。   流出の全有権者情報、接続は1人か 堺市、接触図る:朝日新聞デジタル asahi.com/articles/ASHDM…
リンク 朝日新聞デジタル 流出の全有権者情報、接続は1人か 堺市、接触図る:朝日新聞デジタル 堺市の全有権者68万人の情報が流出した問題で、元課長補佐(59)が公開用レンタルサーバーに掲載した個人情報を閲覧した人物が、モバイル通信業者と三重県の接続事業者をそれぞれ経由してサーバーにアクセスし…
あいうえ55 @aie2373
「検索ロボットで市は流出の恐れは少ないとみている。」って本気で言ってんの?当然キャッシュへのアクセスは実サーバのアクセスログに残らない分、検索エンジンのキャッシュサーバのログを全て見ないと秘密情報を見た総数が分からない、と一昨日堺市へ指摘したが当時同様土日なので進捗が止まってる。
あいうえ55 @aie2373
6~9月にあなた方、いわゆる新聞社や報道機関にもメールやWEBフォームから依頼しているよ。このままキャッシュが残存するのは危険と言う風に。どこからも回答が無く、最後の(最後ですみません)探偵ウォッチ殿のみが取り上げていただいた。
あいうえ55 @aie2373
ふーん、朝日新聞って、関係者がアクセスログでしか知り得ない通報者のプロバイダ情報を公表するのが公益に資すると思ってるんや。今後は個人情報流出停止依頼するのを躊躇するな。本件は、通報者自身の個人情報保護については何ら考慮されていないように考える。堺市から開示請求を受領した点も含め。
あいうえ55 @aie2373
「通報関係者らのみが個人情報のアクセス」と現段階で(キャッシュサーバのアクセスログを確認しない段階で)発表することは、通報者の不利益に 直結する訳で、もしその拙速な公表後に「これ幸い」とキャッシュサーバのみにアクセスしデータをダウンロードしていた者が、
あいうえ55 @aie2373
来週にマスキングせずに個人情報をインターネット拡散した場合、おそらくまず初めに疑われるのは通報者です。

あいうえ55 @aie2373
いまどうしてる?今、堺市と直接メールにて連絡しあっている。
あいうえ55 @aie2373
検索ロボットの件、「そのために必要な情報を収集するためにアクセスを 行ったと想定され、このことによる流出の可能性は低いと考えています。」 そんなん言うんやったら、君ら必死で何か月もキャッシュ情報を消してたという言動と矛盾するやんか。
あいうえ55 @aie2373
個人情報をダウンロードした理由。堺市職員が隠蔽すると予想したから。実際に私が公表しなければ闇の中やった。公表しても「架空の個人情報であることを確認しています。」と意味不明だった。この時もファイルを保管していなければ覆せなかった。この日以降堺市に対して信頼感は無くなった。今も無い。
あいうえ55 @aie2373
8月10日以降に確認した流出キャッシュデータの一覧(一部)。メールアドレス一覧などが有り、結局、個人情報へアクセスした総人数を把握するには最低でもYahoo!サーバ、Googleサーバ、Bingサーバを調べなければならない。 pic.twitter.com/UZQFPKBNo5
拡大
あいうえ55 @aie2373
堺市とやり取りしてる。最初から最後まで事実を矮小化したいとの姿勢は変わらず。以前「有権者情報流出無し」と発表したように、次回も「6月24日以降は個人情報流出は無かった」と発表したい姿勢が見え見え。多分、そのように発表する確率99%
あいうえ55 @aie2373
今年はメーカー、代理店、ドラッグストア、自治体などに関する情報漏えいの停止依頼をした。漏洩している側に同情の余地は無いけど、やっぱり漏洩された方の立場になると嫌なことやから。停止依頼後、自ら公表された企業は1つも無い。
あいうえ55 @aie2373
10社以上個人情報流出停止依頼したけど、自ら公表した組織は1つも無い。こちらが公表した案件については、当事者は事実を矮小化するばかり。政府の皆様、特に今後、個人情報保護委員会となる有識者の皆様には、この点を念頭に置き事件究明を進捗させていかれますよう宜しくお願い申し上げます。
あいうえ55 @aie2373
通報者がここまでやらなあかんの?犯人扱いされながら。 早く第三者に入って欲しかった。それかせめてアクセスログは第三者が見て~さ、通報者不利すぎる。あと、「キャッシュ」の意味が分からん人が集まっていくら調査しても無駄やろ^^;
あいうえ55 @aie2373
後は、今回データ復旧できたように、サーバとバックアップサーバのHDからのデータ復旧の可能性は無くした(空き容量への乱数書込等)とまで示せれば、市民の方は、より安心かと思います。実現困難かと思いますが。細かい事言うならFTP/SSHへの不正アクセス有無も念のため。
あいうえ55 @aie2373
最初の通報先の市政情報課と、セキュリティに詳しそうな情報化推進課の助けを得られていないように見える人事課の方には同情する。人事課は慣れないパソコン調査で苦労してるのに親身に助けているように見えないのが残念。まぁ誰でも矢面に立ちたくないのは分かるけど、協力体制は必要かと思う。
残りを読む(7)

コメント

遠藤 @enco2001 2015年12月28日
通報して犯人扱い&個人情報取られるんなら放置するのが正解になっていくんだろうね ここまでただ見かけただけの第三者が手間暇かけてやる義理ないもの。
ma08s@フォロー外からごめんなさい @bygzam_ma08s 2015年12月29日
「堺市へ住所や氏名等の個人情報開示を予定している」「必要はありません。当の堺市が流出させた68万人中の一人なので、個人情報なら自分で探してください」って返したら、どうなるんだろう。
はふ @hafucco 2015年12月30日
清く正しく通報したら隠蔽の挙句、不利な扱いを受けるという事か。 脆弱性を華々しく公開していた昔のハッカーさん達の「脆弱性を指摘してやってるんだ」という言い分は正しかったんだなぁ……
bokoski2010 @bokoski_2010 2015年12月30日
誰もが知ってる、日本企業の悪いところの一つ。「善意でミスを指摘すると、労力を使わされるどころか糾弾されることすらある」 そんなんで、誰がミスを指摘したがるかね? それどころか通報を隠蔽してあとから問題になると「なぜ、あの時もっと強く言ってくれなかったんだ!」と来る。 多分、まともな人間なら一度は経験したことがあるのでは。
ログインして広告を非表示にする
ログインして広告を非表示にする