［米国］
マーケティング会社の大規模データ盗難を巡りFBIが捜査開始

関係者へのWeb告知が見送られた件で非難の声も

（2007年11月30日）

　米国のマーケティング会社Convioは11月28日、同社の顧客であるAmerican Red Cross、CARE、American Museum of Natural Historyなど、92の非営利団体の電子メール・アドレスやパスワードが盗まれた事件でFBI（連邦捜査局）が捜査に乗り出したことを明らかにした。

　Convioのコーポレート・コミュニケーション担当ディレクター、タッド・ドルアート（Tad Druart）氏は、「FBIが捜査中であるため、これ以上のコメントは控える」と述べたうえで、「問題を発見し、不正侵入を遮断したものの、多数のデータが盗まれてしまった。現在は、再発防止に向けて新たなセキュリティ対策を講じている」と説明した。

　Convioは今月、非営利団体や大学向けに同社が運用している電子メール・マーケティング／オンライン資金調達プラットフォーム「GetActive」の92の顧客のデータが、10月23日から11月1日までの間に盗まれたと発表していた。盗まれたのはこれらの顧客の電子メール・アドレスとパスワードで、パスワードは、慈善団体や非営利団体が寄付者に与えるアカウントを管理するために使用されていた。また、Convioが11月1日に不正侵入を発見して同社のデータベースをロックダウンした時点で、別の62の顧客のデータも盗まれる危険性が高い状態にあったという。

　Convioのスタッフのデーブ・クルーク（Dave Crooke）氏は、非営利団体の担当者向けのメーリング・リストへの投稿で、「侵入者はConvioのある従業員のログイン名とパスワードを入手した。従業員のPCのセキュリティが破られていたようだが、詳細については現在も調査中だ」と述べた。なお同氏は、クレジットカード・アカウント・データや非営利団体の協力者の名前とメール・アドレスは盗まれなかったとしている。

　ConvioのCEO、ジーン・オースティン（Gene Austin）氏は、同社のWebサイトに掲載したメッセージで、不正侵入があったことを謝罪し、その影響が及ぶ人はパスワードを変更し、フィッシング攻撃に注意してほしいと呼びかけた。「同じメール・アドレスやパスワードをほかのオンライン・サービスに使っている場合は、それらのサービスのパスワードをできるだけ早く変更することをお勧めする」（同氏）

　Convioは、メール・アドレスやパスワードを盗まれた人だけに直接注意を促すのではなく、GetActiveの全顧客に対して盗難に関する報告を行った。そして各顧客はそれぞれの関係者に電子メールで告知したが、被害にあった団体の中で、Webサイトで告知を行っているところはほとんどない。

　非営利団体Coalition for the Homelessの元ITディレクターで、現在はNon-profit Tech Blogを運営しているアラン・ベナマー（Allan Benamer）氏は、このことを問題視している。「Convioは適切な対応をした。少なくとも、すぐに人々に注意を促した。しかし、非営利団体は、メールに加えてWebサイトで告知することをしなかった。メールを見逃してしまったら、関係者は知るすべがない」（同氏）

　Benamer氏は、サイトで告知を行った団体を数えたところ、2つしかなかったことに落胆した。「154の団体のうち、たった2つというのはお粗末なかぎりだ。154の銀行が侵入の影響を受けたとしたら、2行だけがサイトで告知するということは考えられない」（同氏）

　同氏は加えて、「今は寄付が増える時期なだけに、非営利団体は寄付者を失うのを恐れて告知を避けたのかもしれない。しかし、それは近視眼的だ。この問題を軽く扱うのはまちがっている。影響を受けた寄付者はそうした秘密主義を嫌って、これまで支持してきた非営利団体を見限るかもしれない」と忠告している。

(Gregg Keizer／Computerworld オンライン米国版)