2006年05月30日

入り乱れる憶測、足元のトラブル<追記あり>

『「君主」や「スカッとゴルフ パンヤ」などで個人情報流出のおそれ』
http://www.4gamer.net/news/history/2006.05/20060529190135detail.html

『スカッとゴルフ パンヤと君主、サービスを再開』(Slash Games)
http://www.rbbtoday.com/news/20060529/31150.html

【公式プレスリリース】
http://www.aeria.jp/aeria/ir/pdf/H180529_11.pdf
http://www.gamepot.co.jp/pdf/ir_release/060529_privacy.pdf

4Gamer.netの記事リンクを先頭にもってきたのは、該当記事の追記中に、この事件に対する視点(「しかしそれにしても〜」の部分)が書かれているからです。個人情報に関して、以前のエントリでも書きました。(http://netogenow.seesaa.net/article/13933281.html)が、今回も書いてみたいと思います。


昨今の個人情報流出事件の中でも、今回の件は情報の公開も適切にされていたと思います。また、ゲームサーバーはメンテナンス作業に入り、漏洩したIDやパスワードが悪用されないようにという対処の流れも正当だと思います。

けれど、4Gamer.netの記事で触れられていたように、そもそもHDDが紛失(盗難の恐れも、ということです)するという事態はどのような状況で起こったのか、というところが気になります。

ご存知のように、通常サーバーを置くのはデータセンターであり、そのデータセンターは入館してからサーバーに行き着くのに何段階かのセキュリティ(入室者チェック、部屋への鍵、サーバーラックの鍵、ドライブに鍵があるサーバーもあります)がかかっているものです。

もし、セキュリティが強固なデータセンターであるなら、内部犯行か、あるいは正常な作業によって取り出したHDDを置き忘れるなどの人的ミスから、他者に奪われた、ということになります。

安全でないデータセンター(そんなものがあるのか、と思いますが)であるなら、誰が何の目的で?ということになります。

HDD欲しさ?中古のHDDを売り飛ばしてもいくらにもなりません。個人情報売り飛ばし?いやいやそんなことをするのに危険を冒してまで中に何のデータが含まれているかわからないHDDを30も引っこ抜かないですよね。しかもIDとパスやメールアドレスだけでは、個人情報に行き着きません。住所も含めたデータは割合的には少なかったわけですから、効率が悪すぎます。
もっと砕けた話をすれば「金持ちリスト」だとか「○○という属性の人が集積されたリスト」なら値段がつくのでしょうが、年齢も職業もバラバラなネトゲプレイヤーのリストは、SPAMメール用のリストくらいにするしか使い道がないでしょうし、それは1億アドレスあったってそうたいした金額にはなりません。(もちろん、属性がないデータは漏れていい、というわけでもないです。あくまで犯行目的を考える助けとして、上記したまでです。)

この件が、前者の置き忘れ等人的ミスでありますように。
そうでなければ、後者にも当てはまらない憶測について考えなければならず、それが発生したということは同業者としてもすごく怖いことなのです。メモ的に、このことを書いておきます。

----------

自分の会社のことを書きます。深夜から未明にかけ、ユーザー登録ができなくなるというトラブルが発生。現象の発生から、現場での検証、ユーザーへの告知、問い合わせへの対応、実際の復旧作業、復旧告知までの流れが、自分の基準で考えるに全くスムーズではなかったと思います。

サイトもリニューアルして、先行登録を開始したばかりのことですから、慎重に慎重を重ね、用心しなければいけないときに、発生した、発生させてしまった、そういうトラブルです。

深夜に渡り逐次報告を受ける度に、ボトルネックの箇所はすぐにピンくる程度のことだったのに、それが3つ4つ重なって、結果的にお客様に長時間迷惑をかけてしまいました。「登録できないや、やめよう……。」というお客様がどれだけいらっしゃったことかと思います。

現時点では、昨夜登録できなかった方々が復旧後に徐々に登録をし始めているように見受けられ、その点では胸を撫で下ろす気持ちではありますが、根本がトラブルにあり、事の大小ではなく「予防と情報公開と即時対処」の3点をきちんとしていかなければならない点では変わりません。

告知に重ね、大変ご迷惑をおかけしたことをお詫び申し上げます。ブラッシュアップに向け、日々サービスのクオリティを向上させていけるよういたしますので、何卒よろしくお願い申し上げます。


<追記>
『アエリア、個人情報を含むハードディスク紛失事件についての再発防止策を発表』
http://www.rbbtoday.com/news/20060530/31161.html

かなり早い対応だと思います。今後の個人情報漏洩事件への対処という点で、ある意味この業界のお手本となるケースということができるかもしれません。それにしても、対応策を見て気づいたのですが、これは元々のデータセンターについての環境が通常以下だった、ということなのでしょうか? オンラインゲーム運営において、固定費としてかなりを占める部分なだけに、費用対効果が高い上にセキュリティも万全、というのが求められますね……。うーん。でもこういうの難しいよなぁ。盗難とわかったらわかったで、なぜ泥棒の侵入を許したか、という話になるし……。改めて、自社へもいろいろな意識の徹底をしていかなければと思います。
[ブラキン] [天道] posted by 塩肉(Sionic) at 11:58 | TrackBack(1) | 業界トピックス
この記事へのTrackBack URL
http://blog.seesaa.jp/tb/18588881

[MMORPG全般] HDD30台盗難。
Excerpt: ゲームボットが運営するゲームにて、バックアップ用HDD30台が盗まれて個人情報が漏洩した件について、さまざまな視点からの記事が出てきています。 まずは同じ運営会社方面から、ハイファイブの塩肉さん..
Weblog: Yanのプリ日記
Tracked: 2006-05-30 14:07
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。