今週から何やら自分の周囲でも噂が立っていたが、「セブンネットショッピング」で個人情報が流出したのではないかという話だった。特にニュースで関連した記事を見かけた覚えがないと思っていたら、２ちゃんねるとかtwitterなどで騒がれていたものだったらしい。事実関係がはっきりしないが、IT系ニュースとしては初めて(？)ITmediaで報じられたようだ。

セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も..(ITmedia)
商品誤表記のお詫び（セブンネットショッピング）

　あまり２ちゃんねる情報を追いかける気力もないが、かろうじて見つけたのは、当該サイトでは12/8付けで「商品誤表記」のお詫びをタイトルもなしに表示しているのみである。ITmediaでは「デモ用ソースコード」が流出したとの報道である。これを見る限りでは、実態ははっきりはしないが、絶好の２ちゃんねるのお祭りネタになったようである。

　デモ用コードにしろ、Google検索に簡単に引っかかるような場所にそのまま放置していたことには問題がありそうである。なおかつそのスクリプトが誰でも実行可能なパーミッションだったとすれば、公開サーバーとしては問題外であろう。デモ用コードが残っているとか、なんとなくリニューアルオープンのために突貫工事でやったために、穴だらけのシステムになっているのではないかと疑われても仕方がない。

　セキュリティの問題発覚に関しては公表が難しい面がある。あまり技術的な不備を公開してしまうと、クラッカーにさらに攻撃の手がかりを与えてしまいかねない。しかし個人情報の流出や障害や人為的ミスの影響などは、顧客に対して説明しなければならない。かつては個人情報の流出の事実を隠してした企業が、警察にその流出リストのコピーを突きつけられて、しぶしぶ流出の事実を公表したこともあった。しかし警察はその流出リストの入手経路は捜査の関係上、伝えることはなかったという。

　個人情報流出が疑われたとき、「セブンイレブン受け取りが可能なセブン・・」と聞いて、自分の個人情報が心配になった。最近はほとんど利用していないが、自分は比較的ネット初期の頃の「セブンドリーム・ドットコム」時代に登録してあり、現在はそれは「セブン-イレブンネット」にリニューアルされている。てっきりそのサイトかと思っていたら「セブンネットショッピング」(旧セブンアンドワイ)とは、同じグループだが別会社のネットショッピングだった(セブンイレブンではなくイトーヨーカドー側のネットショッピングか)。まさかIDは共通にはなってはいないだろう。名前が何となく紛らわしい。

　セブン＆アイ・ホールディングス関係のネットショッピングは、最も店舗数の多いコンビニであるセブンイレブン受け取りができるということで、個人的には便利だと思っていたが、次第に品揃えやその他の理由で、いつのまにかAmazonと楽天にシフトしてしまっている。Amazonはローソンで受け取りが、楽天はミニストップなどのコンビニでも身分証明書の提示なしで受け取りができたりする。もっともかつて楽天でも個人情報流出があったはずと調べてみたら、かつてどころか今年にもその疑いがあったようだ。知らぬは利用者ばかりでは嫌になる。儲けるのが先か信頼が先か、儲からなければセキュリティレベルも上がらないものか、現実としては難しいところだ。