情報処理技術者試験センターは7月1日より行っていたインターネットによる受験受付を中止した。
7/12 福岡市博多区にて |
そもそも「7月1日に始まった今回のインターネット受験受付システムで、個人情報を入力する画面にSSLによる情報保護が行われておらず、クレジットカード番号などを含む約760人分の個人情報が漏れる可能性があった」というトラブルが発端。
この件自体は「委託した事業者の単なる設定ミス」で現在はちゃんとSSL暗号化を行って情報が保護されているのだが、受付システムのサイトが52school.comという外部ドメインであり、しかもそのドメインが正規の委託先サイトであるかどうかが利用者に確認できないという問題が指摘されている。
わかりやすく言うと、悪意の第三者が『53school.com』といったドメイン名でにせのサーバーを構築して受験者を誘導していたら、受験者はにせと気づかずにクレジットカード番号を渡してしまうことになる、という事で、ともすれば情報処理試験の問題として出題されてもいいようなセキュリティのチェックポイントだ。
業者に委託するのが一概に悪いとは言わないが、国家試験の関連サイトが.comドメインというのはどうかね?せっかくjitec.jpドメインを持ってるのだから、サブドメインを分与すればよいのに。
国家試験を取り仕切っている情報処理技術者試験センター(JITEC)にしてこの程度のなので、SSLで暗号化しているといえども安心せず、ドメイン名とサーバ証明書は確認しないと!思う今日この頃。
【参照】
●日経IT Pro
-【速報】情報処理技術者試験,インターネット申し込み受付を中止 2003年7月16日
●NIKKEI NET
-情報処理技術者試験センターで個人情報漏れか 2003年7月3日
●セキュリティホール memo メーリングリスト
-[memo:6162] 情報処理技術者試験センターのクレジットカード番号を暗号化しない事故 2003年7月7日
-[memo:6164] Re: 情報処理技術者試験センターのクレジットカード番号を暗号化しない事故 - (なりすましの指摘) 2003年7月8日
●情報処理技術者試験センター
-平成15年度秋期情報処理技術者試験 受付に関するトラブルについて 2003年7月2日
-平成15年度秋期情報処理技術者試験 インターネット受験申込の中止について 2003年7月15日