そのスクリプトを使っているサイトであればディレクトリー覧が公開されていなくても、ファイル名の直接指定で顧客情報を閲覧できた事件がありました。
2002年は、携帯電話のショッピングサイト用のCGIスクリプトにこの脆弱性が発見され、多数の被害が出ました。 (3)推測されないデ、イレクトリ名やファイル名を使用すればいいと誤解したことによる流出。
例えば以下のような秘密のファイルを使っても流出した例がありました。 管理者は、こんなファイル名を思いつく人はいないから安全と思ったのでしょう。
ところが、このようなアドレスが何者かによって掲示板上に公開されたり、検索サイトでキーワードに一致する候補ページとして表示されたりする事件がありました。 原因は定かではありませんが、想像はできます。
・アドレスを知っている人のブックマークなどが第三者に流出・アドレスを知っている人が個人的にリンク集を作り、そのリンク集に検索ロボットが訪れたグにアドレスが記録され、他人に知られた。 またはアクセス解析ページを経由してロボットが訪れた。

検索サイトで自分の氏名やメールアドレスを検索して、偶然、自分の情報を含む個人情報ファイルが公開されていることに気づいた人もいました。 読者のみなさんも試してみましょう。
(4)その他の設定ミス。 公開されない設定にしていたものの、サーバのハード・ソフトの入れ替えや障害復旧時などの最設定にミスすることも少なくありません。
テスト不足が原因です。 (1)情報に敏感になり、安全を目指し続ける態度。
ディレクトリー覧を公開して顧客情報を流出させたサーバの管理者は、Apacheの機能を知らなかったのでしょう。 読者のみなさんは、これを勉強不足で片付けてはいけません。
使用するソフトの機能と設定方法の全てを知ることなど、そう簡単にはできないのです。 そして、たいていのソフトは、その全てを知らなくてもそれなりに動作させることが可能になっています。
安全を目指そうと思えば、いつも、自分には知らないことがあるとし寸前提で情報を収集し続けなければなりません。 Apacheのディレクトリー覧機能に気づかないのは初心者によくあることなので、それに触れている書籍・雑誌があります。
解りやすく説明した親切なサイトもあります。 少しでも関連の情報にアクセスしようとしていれば気が付くことです。
万が一、偶然にもその情報を見逃していたとしても、最初の顧客情報流出事件が報道されたとき、他の全ての会社には「そのサイトからどのようにして顧客情報が漏れたのか?うちは大丈夫なのか?」と考えるチャンスがありました。 顧客情報流出事故はテレビや新聞で取り上げられました。

警察庁やIPA20はそれぞれのサイトで注意を呼びかけました。 情報を頻繁に更新しているセキュリティ関連サイト21もたくさんあります。
サーバ管理者同士が安全を目的に熱心に情報交換をしているメーリングリストや掲示板もすぐにみっかります。 もい今もディレクトリー覧の公開に気づかずに顧客情報を流出させているサイトがあったとしたら、その管理者は、テレビでも新聞でもセキュリティ関連のニュースを見ておらず、自分のサイトではお客様の情報を預かっていながら警察庁からもIPAからも情報収集しないいセキュリティ関連情報について検索サイトを利用する気すらないのです。
これは勉強不足とは言いません。 19Webサーバのアクセスログの一種で、他のページのハイパーリンクをクリックして訪問したとき、リンク元のURLを記録するもの。
却独立行政法人情報処理推進機構(旧情報処理振興事業協会(IPA)(http://wwwipago担!)(2)Webサーバの安全な設定。 公開しではならないデータを外部からアクセス不可能な領域に保存することです。
Webサーバにおいて入力したデータを直ちに別のコンビュータに転送いWebサーバには残さないのが最も安全です。 Webサーバ上に保存する必要があるファイルでも必ず公開されないディレクトリを使用します。
そのディレクトリを公開するかはWebサーバの設定によるのでそれを見直します。 情報収集に敏感でいれば、Webアクセスができない領域に置いたデータがftpアクセスによって外部に流出した事件の存在も知ることができるでしょう。
それとは別に、全てのファイルには適切なパーミッションを設定することが重要です。 パーミッションはファイルごとのアクセス権限のことで、読み込み可能/書き込み可能/実行可能の属性をそれぞれどのユーサーに与えるかを決めておくものです。
仕組みは少々違いますが、UNIX系08でもWindowsNT/2000lXPでも設定が可能です。 Webサイト経由の個人情報流出事件は、当該ファイルの読み込み可能属性をWebアクセスするユーザ、に持たせていなければ防げたものばかりです。
デ、イレクトリー覧機能は特に理由がないかぎり使わないのが安全です。 ディレクトリー覧の公開/非公開の設定は、Apacheの設定ファイルhttpdconfの変更で行います220Indexes/-Indexesがそれぞれ公開/非公開を表します(資料31、資料32)。
ハードディスク内のデータは、それを消したといっても、実際はデータの管理領域に削除フラグを設定し論理的にユーザから見えないようにしているだけです。 誤って消してしまったファイルを復活させるツールもありますい故障したハードディスクからデータだけを取り出すこともある程度可能です。

このようなデータ復活をデータ・サルページといいます。 悪用のためにディスクに残ったデータを読み出すことをスキャビンジング23(スカビンジング)ということもあります。
2002年には、データサルベージソフトによって中古ノfソコンから診療明細書データや犯罪歴を記入した少年のリストが発見され、ニュースになりました。 それぞれ、病院や警察署内で使用されていたものでしょう。
21セキュリティホールmemo(http://wwwstryukokuac」p/~k」m/security/rnerno/)は代表的なサイトの一つ22読者のみなさんの中には、ホームページスペースをレンタル利用しているため設定ファイル変更を自分でできない人もいるかもしれません。 ディレクトリー覧が公開される設定のままでも、公開したくないディレクトリにトップページ(たいていはindexhtm。
Dを置けば一覧表示を防ぐことができます。 23ソーシャルエンジニアリングの手法の一つのごみ箱あさり(トラッシング)の意味にも使われます。
第8講参照。 このような流出を防ぐために、ハード、ディスク等の記憶媒体の譲渡・廃棄H寺に、ハードディスク内容を物理的に消すことが必要です。
一般的な削除やフォーマットの操作は物理的な削除ではありません。 必要なのは、ハードディスクの全てのビットをOまたは1で上書きすることです。
このツールは市販されています。 メールアドレスの流出事故で最も多いのが、顧治:に同報送信したメールに、全顧客のメールアドレスが表示されたものです。
電子メールの宛先の指定には以下の3つの方法があります。

最後の神頼みは物流 求人のマニアックな情報をお届けします。物流 求人のヒントをお教え致します。
物流 求人の専門家の指南をうけてみましょう。物流 求人のクチコミ情報を求めています。
驚異の輝きを誇る物流 求人を笑って続けよう！物流 求人も悪くないんです。