印刷会社グラフィックの個人情報流出に関する公式の報告にはかなり問題がある

ブログの連載を中止していたが、ちょっとこれは書いておいたほうがいいかなという事案が発生した。

たまに印刷を発注する印刷会社グラフィックから先日メールが届いた。
よくある個人情報流出についてだ。
詳しくは、ここ。
https://manage.graphic.jp/shop/order02_w.php

こんなことは今までにもあったから、まぁそれはおいておこう。(良くはないんだけど)

個人的には、
サイトに登録するということは、個人情報流出のリスクを負うということだと思っている。
むしろ、流出はするもんだと思っている。

グラフィックの件もそうだが、流出が発覚するのが外部による指摘ということはよくある。
ほとんどは気付かないうちに情報が抜かれていると考えたほうが良い。
となると、表面上は発覚していなけれども個人情報が流れていることは多々ある。

なので、サイトに登録するということは個人情報は流れると思ったほうが良いのだ。
これだけ世の中にサイトがあるのだから完全に個人情報を守るのは無理だ。
でなければインターネットとオサラバするしかない。

本題

で、今回のグラフィックの発表内容なのだが、重大なことが省かれている。

実はグラフィックのシステムでは、パスワードが暗号化されていない。

これは今時のシステムではあってはならないことだ。
登録メンバーのパスワードを暗号化してデータベースに保存しておくというのは、
IT業界ではかなり前から常識とされている。

今回、グラフィックの流出ではメールアドレスとパスワードが流出している。
つまりパスワードは丸見えの状態で流出しているため、
同じメールアドレスとパスワードを他のサイトで使いまわしている場合(そんな人ばっかりだろうけど)、
それらのサイトのアカウントを乗っ取られる可能性がある。

にもかかわらず、
グラフィックの報告では、

Webサイトをご利用いただくためのパスワードにつきまして、ご変更いただくことをお奨めいたします。

と書いてある。
マジでありえない。
これはお奨めする、というレベルの話ではない。

グラフィックはもとより、使いまわしている他のサイトのパスワードも全て変更しなければならない事態なのだ。

オレの場合は、普段から全ての登録サイトのパスワードをランダムに生成して異なるものにしているため、
グラフィックのパスワードを変更すれば事足りるが、
残念ながら世の中のほとんどの人はパスワードを使いまわしている。

パスワードが暗号化されていないことは、
グラフィック社に直接電話して確認した。
しかも、「パスワードは暗号化されていたんですか?」と聞いたら、「していませんでした。」と即座に回答があった。

電話に出た人はシステムに詳しいわけではないだろうから、
聞かれたらそう答えろとおそらく言われているはず。
そう考えると、
少なくとも社内の上層部ではその深刻度は理解されているように思われる。

であれば、パスワードが暗号化されていない事実は正直に報告して、
サイト利用者によるパスワード変更対応が緊急になされるべきであることも周知すべきだ。

本当に、
パスワードは全サイトで別のものにしておいたほうが良い。
今はパスワードマネージャの選択肢がたくさんあるので、
何か一つ導入することをお奨めする。(というか絶対やったほうがいい)

ちなみに、今現在もグラフィック社のシステムではパスワードは暗号化されていない。
パスワードを変更しても、暗号化されないということだ。
ここはシステムのアップデートを待つしかない。

なお、グラフィック社の印刷会社としてのクオリティにはとても満足している。
Illustratorから直接データを送信できるプラグインを配布しているあたりも、
なかなか技術力のある会社だなぁ、と思っていたので今回の件は非常に残念だ。

コメントする