「セブンネットショッピング」誤表記及び個人情報流出について(Ver.2.1):SaLP
SSブログ
本blogは有料化いたしました。「セブンネットショッピング」で注文した商.. ブログトップ

「セブンネットショッピング」誤表記及び個人情報流出について(Ver.2.1) [企業]

 この件については某大型掲示板、某大型SNSなどで話題になっているようですが、それについて書きたいと思います。「セブンネットショッピング」は、「イトーヨーカドーネット通販」と「セブンアンドワイ」が統合されて12/08(Tue)にリニューアルした新しい通販サイトです。今回は「セブンネットショッピング」が『数量/価格誤表記』と『個人情報流出』という二つの状況が起こったため、これについて書きたいと思います。

 と、この記事を書こうとしたら一度Firefoxが強制終了して下書きが飛んでしまったので(爆)、消えてしまったものよりは手を抜きつつ行きます(笑)

 

 まず、リニューアルした12/08(Tue)の朝に、470mLのミルクティが24本で178円(本来一本当たり147円)、450mLのカフェオレが同じく24本で148円など、多くの商品で価格や個数の誤表記が存在していました。

 

 「セブンネットショッピング」は12/08(Tue)に開店したばかりですが、元々は「イトーヨーカドーネット通販」と「セブンアンドワイ」が統合されてリニューアルしたショッピングサイトです。そのリニューアルする前の「イトーヨーカドーネット通販」では同様の事例が2009年10月に発生しており、その時の対処は「我々のミスであるため、注文者には数量/商品をそのまま送る」という措置を執りました。

 

 その二ヶ月後、つまり今回ですね。上に書いた誤表記の製品を大量に購入するという騒ぎが某大型掲示板などで起きていたようです。

 しかし12/08(Tue)に起きた件について、セブンネットショッピング側は翌日12/09(Wed)に「12/08(Tue)の午前0時~午前7時過ぎまでの約7時間に該当商品を注文した人に一律2,000円の郵便為替を以てお詫びに代えさせていただく」という措置を執ると発表しました。しかし、該当商品のリストが公開されないため、何が該当なのかが分かりません。

 

 

 

 

しかしです。

 

 この誤表記問題は実は12/08(Tue)の午前7時までではなく、同日朝、昼、夕方まで、製図用シャープペンシル2,000本が418円、トルクゲージ(「トルク」を測る工業用測定器)が20,000個で51,303円(本来は一つで同価格)、300mLフラスコが200個で780円、赤い液体で測るタイプの温度計が250本で567円など、誤表記は続いていました。

 

 しかしながらセブンネットショッピング側は午前0時から7時過ぎまでの約7時間と嘘をつきました先ほどのgoo ニュースを参照
→リンク先が消滅したため、YOMIURI ONLINEのこのページ(Web魚拓)をご覧ください)。

 

 

 更に、12/09(Wed)の終日~12/10(Thu)の午前0時過ぎ、今度は食用の粉末出汁(だし)264g*30・・・すなわち7.92kgが1,680円(本来は264gで同価格)が購入できるようになりました。これは公式掲載文(本文URL:http://www.7netshopping.jp/esb/docs/excuse_info.html)の『現在、当該商品につきましてはご購入いただけない状態にさせていただいておりますが、順次修正し、ご購入いただけるようにさせていただきます。』の、「順次修正」に当たると考えられるのですが、全くおかしなことにシャープペンシルやトルクゲージなどと同様、この件についてのアナウンスは全くなされていません。

 

 

 誤表記については以上です。私は12/10(Thu)の午前0時過ぎに発見し出汁を購入したので、この件について同じ日にメールをしたのですが、サポートセンターはやる気が無くさっぱり返答すら帰ってきません。加えて電話もしたのですが、電話も繋がりませんでした。

 明日で一週間ですね。この時点で相当怪しい企業の匂いがプンプン感じられましたが、私も第三者ではなくなったので、しばらく某巨大掲示板・・・2ちゃんねるの該当するところを見てみることにしました。

 あ、ちなみに、誤表記である商品のURLが掲示板に貼られると、その数分後には表記が直されるという、明らかに社員が見ていると思われる状況が何度も続き、IPアドレスを表示するトラップサイトへのリンクがその掲示板内に貼られたところ、何度もセブンネットショッピングからのアクセスが発生したりしていました。間違っている、と書き込みがある度にちまちま直していたようです。

 

 

 

 しばらく掲示板を見ていると、「注文した商品の確認ページが消えてしまった」という人がサポート側にメールを送ったようで、12/12(Sat)の夜にその返答を同掲示板に貼り付けていました。しかしその貼り付けられた文章に存在したURLから、セブンネットショッピングもしくはYahoo!の任意の会員がアクセスすると、本人以外でもあらゆる人が注文内容を確認できる事態が発生しました。

 

 

 これは本来セブンネットショッピング側からのメールでのみ送られてくるURLだったものの、そのURLからリンクすれば誰しもが(そのメール内容を掲示板に貼り付けた本人の)注文状況が表示出来る状況で、私も何気なくクリックして他の人の状況が出てきたので驚きました。

 

 これについては2008年2月、当時の「イトーヨーカドーネット通販」時代から掲示板にて明らかになっていた問題のようで、二年弱放置されていた脆弱性であった可能性が有ります。

 

 

 そしてその数時間後、とうとう注文者と住所までアクセス出来る穴が見つかり、その後「注文状況の確認」のページのURLが単純なURLの羅列(一度アクセスされたタイプスタンプ、注文番号を特定のアルファベットに置換したもの)で生成されていることが分かり、URLさえ見抜けば誰しもが任意の人間の住所氏名を閲覧できる状況にまで被害が拡大しました。

 

 これは私も事例を確認しましたが、残念ながらソースはありません(流石に他人の住所氏名が書かれたページを保存するのは倫理的に問題があると判断しました。)また、これは自分のID及びパスワードを用いて掲示板上に貼られたURLをクリックしただけですので、不正アクセス禁止法には当たりようがありません。

 

 

 脆弱性について私も少し調べてみましたが、どうやらCookieの扱いがザルなのと、一度ログアウトした状況で素早くログインし直すと存在する任意のIDとパスワードでどの個人情報も開ける、ログイン情報の廃棄時間のミスであるような雰囲気でした。

 

 

 そのほかにも色々問題があるようで、そもそもサイトの作りがどう見ても素人、これで給料貰っているのかというレベルでなかなか酷いですね。まず見た目が汚いですから、色々な場所にバグがあっておかしくない状況です。2ちゃんねる内で浮上した脆弱性は複数ありましたが、それぞれに対処療法でバグを消している時点でどうしようもありません。

 So-net blogのみなさんに分かりやすく言うとすれば、ベースがSo-net blogの100倍タコです。So-net blogは重かろうが不具合が出ようが、個人情報まで割れることはないですから、今回セブンネットショッピングを見て逆にSo-net blogが偉大だなあと感じるくらいです(^^;;

 

 

 ちなみに私は、この個人情報流出の件についてサポートに「12月12日に他の会員とみられる個人情 報が表示される脆弱性を発見したが、私の個人情報は漏れているのか」という意図の内容を問い合わせました。

 

 

 すると事もあろうに、「個人情報の漏洩はございませんので、どうぞご安心ください。ご注文に付随する個人情報はご本人にしかわからないものですが、十分な認証手段をご提供することで、安全性を強化いたしました。」と返信が来ました。

 

 「個人情報の漏洩はございません」じゃなくて漏洩してるから問い合わせたんですが、どこまでも隠蔽しようと腐った企業です。しかも続く「ご注文に付随する個人情報はご本人にしかわからないものですが、十分な認証手段をご提供することで、安全性を強化いたしました。」という文章、本人にしか分からないのにどのような安全性を強化したのか、そもそも日本語すらおかしいことになっています。

 

 本人にしか分からない程の十分なセキュリティが確保されていれば「安全性を強化する」理由がないんですが、ちょっとおつむが足りないんじゃないんですかね?

 

 

 

 しかもじきに一週間経つメールは放置しておいて、この件については即座に返信して火消ししようとする辺りブラック企業の匂いがプンプン・・・と言いますか、ブラックで良いですもう。ここまで問題が挙がっているのにサイトを停止せず、何食わぬ顔で注文を受け付けた上にテレビではCMまで打っているそうじゃないですか。

 私はテレビがないので分かりませんが、やる順番がおかしいんじゃないの、と。まずサイトを閉鎖してお詫びのCMと会員に対しての賠償が先でしょう。

 

 先ほどの返信メールすら掲示板上に既に上がっている文面でそのままコピーしているようですし、隠すことしか考えておらず、顧客の個人情報とかはどうでも良いようです。

 

 

 そうそう、他にも旧「セブンアンドワイ」時代の注文内容(及び氏名)がGoogle検索に引っかかる状況もあり、こちらも私は確認しましたが、現在Googleの該当キャッシュは消されております。おそらくセブンネットショッピング側が要請したものと思われますが、これについてはネット上にも証拠が挙がっています。

 

 

 

 普段そこまで悪くは言わないんですよ、私は。いつもこのblogをお読みいただく方は分かると思いますが、Walkman A Seriesの時だってマーケティング方針に怒りはしたものの製品については怒っていません。

 しかしこれはもう擁護のしようがない、とんでもなく汚い経営ですので、最初は記事にしないつもりでしたがこうして詳細に記述することにしました。

 

 まだまだ穴はありそうですから、仮に私が穴を見つけたら相応の対処をしましょうかねぇ・・・

 

 そうそう、各ITサイトにいくつか記事がありましたが、どうやらこのWebシステムは内製でコストを1/10に絞っているようです。コストを絞ってもセキュリティが比例しておろそかになるようであれば意味が無いどころか逆効果ですよねぇ・・・。必要経費という言葉を一度学んだ方が良さそうです。

 

 

 

 さて、私や私の親なんかは既に手遅れですが、サイトのシステムは根幹から腐っている状況なので、システムを丸ごと作り直さない限り今後また個人情報が流出してもおかしくありません。掲示板によると、まだ2ちゃんねる内には公開していない不具合をIPA(情報処理推進機構,独立行政法人)に報告したという書き込みもありますし、注文していないはずの商品が届いたという話もあります。それらが嘘か本当かは分かりませんが、起こりえない問題が次々起こっている以上、警戒する方が良いでしょう。

 

 というわけで、セブンネットショッピングは使わない方が良いというお話です。随分乱文になってしまいましたが、書く事が多すぎたので整理しきれないのはご勘弁ください。

 

 

 

 12/19(Sat)、ITmediaこの記事で、Webサイトのデモ用ソースコードが流出したと報道されています。

 

 また、XSS(Cross Site Scripting)脆弱性が発見されたことについても書かれています。

 

 

 とりあえずその辺は置いておいて、大事なのはここですね。

 

「届け先などが書かれた注文履歴ページにアクセスする際に認証が求められず、URLさえ分かれば第三者も閲覧できるという問題も指摘されていた。同社は15日までに、認証なしではアクセスできないよう修正したという。」

 これはすなわちURLを総当たりすれば注文状況を第三者が閲覧できる、ということですが、それでも個人情報流出がないと言うんですかね?「確認できなかった」ならまだしも「無い」ですからねぇ。怪しいもんです。

 

 

 

 

  • デモ用ソースコード流出、XSS脆弱性、注文履歴の脆弱性について追記しました
    (Ver.2.0, 2009.12/19(Sat) 17:04)
  • 誤表記のあった時刻のソースが消失していたため、新しいソースのリンク及び対策をしました
    (Ver.2.1, 2009.12/28(Mon) 10:46)

2009-12-16 21:59  nice!(8)  コメント(8)  トラックバック(0) 
共通テーマ:ニュース

nice! 8

コメント 8

moonrabbit

値段などの根本的な間違いをあらかじめ是正できないようなチェック体制のサイトは、個人情報もその程度の連中が管理していると見ていいですから、近付かない方が無難ですよね。
まぁ、情報が漏れても痛くない人にとっては良い小遣い稼ぎの場所になっているとは思いますが。。(^^;
by moonrabbit (2009-12-17 09:07) 

Virgo

世の中、聖人君子づらしてる方こそ危ないと言う見本ですね。

うーーん、旧「セブンアンドワイ」で一度だけ買い物したけど、どうなってるかなぁ。調べてみなくては。
引き継ぎ作業してないので、抹消されてると被害はなくて助かるんですけどね。
by Virgo (2009-12-18 13:12) 

みみちゃん

こんにちは。
これはひどい・・・・・・;;;。
株を買おうかと思ってたんですが、やめますわ;;;。
by みみちゃん (2009-12-19 12:33) 

Riever

>moonrabbitさん、nice!、コメントありがとうございます
購入履歴のログを客が持たないといけないほど信用できないサイトですから、何があっても近づかない方が良さそうです。

私は漏れてもあまり痛くは無いですが、VISAデビットの情報を入力していますからねぇ・・・クレジットでなかった分マシですが、どちらにせよ2,000円では割に合いませんね(笑)
そもそも2,000円は誤表記に対してで、個人情報に対してではありませんから(爆)
by Riever (2009-12-28 11:39) 

Riever

>Virgoさん、nice!、コメントありがとうございます
見せかけだけというのは一番タチが悪いですね。大企業でもこういうこともあるんだな、と、いい経験になりましたよ。代償は個人情報でしたが。

「セブンアンドワイ」ではGoogle検索で個人情報が拾える状況にありました。不特定多数でしたので、漏れている可能性はあるかもしれません。ただ、あちら側はしらばっくれているので現時点で調べる方法はないでしょう。それこそP2Pなんかで流出しない限りは。

引き継ぎは自動でされるんじゃないでしょうかね?その辺りはちょっと分からないのですが、(退会したとしても一定期間情報は保持するらしい)規約上抹消はされないように思います。
by Riever (2009-12-28 11:44) 

Riever

>みみちゃんさん、nice!、コメントありがとうございます
株は止めた方が良いです。被害者は株を買うことで逆に圧力を掛けられそうですが、それ以外が買ってもメリットはないでしょう。
こういった体質であれば、仮に今回しのげてもいずれボロが出てくるでしょうし。
by Riever (2009-12-28 11:45) 

Riever

>ぼんぼちぼちぼちさん、はじめまして。初nice!ありがとうございます
by Riever (2009-12-28 11:46) 

Riever

>ポコさん、かつぽんさん、kanchinさん、ぞうさん、nice!ありがとうございます
by Riever (2010-01-06 11:48) 

コメントを書く

お名前:[必須]
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

トラックバック 0

トラックバックの受付は締め切りました
本blogは有料化いたしました。「セブンネットショッピング」で注文した商.. ブログトップ

◎blog利用の注意事項(ReadMe)



読んでいるサイト


◎キリ番nice![2,000 to 10,000]


◎キリ番nice![1,000 to 1,900]


-1,900nice!-
マイミドリー!さん
-1,800nice!-
catoさん
-1,700nice!-
かつぽんさん
-1,600nice!-
HIROさん
-1,500nice!-
ふろすさん
-1,400nice!-
はまちゃんさん
-1,300nice!-
かつぽんさん
-1,200nice!-
arkstarさん
-1,100nice!-
かつぽんさん
-1,000nice!-
HIROさん

◎キリ番nice![100 to 900]


-900nice!-
arkstarさん
-800nice!-
(Unknown)
-700nice!-
(Unknown)
-600nice!-
HIROさん
-500nice!-
ふろすさん
-400nice!-
ふろすさん
-300nice!-
かつぽんさん
-200nice!-
ふろすさん
-100nice!-
sundayblueさん

User Local(旧「なかのひと + うごくひと」) アクセス解析

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。