もっと身近にセキュリティ

漏洩事故から7年経った通販サイトの現状

2015年9月に、音響機器の販売で有名な株式会社サウンドハウスが自社の通販サイトにおけるクレジットカード決済の再開を宣言していました。
http://www.soundhouse.co.jp/news/detail?NewsNo=7564

このリリースの中では触れられていませんが、サウンドハウス社は、2008年に大規模なクレジットカード情報の漏洩事故を起こしました。サーバーが外部からクラッキング(攻撃)され、最大97,500名分のクレジットカード番号を含む個⼈人情報が流出するという大きな被害が発生し、セキュリティ関連のニュースとして注目を集めました。

事故後7年以上クレジットカード決済ができなかったため、同社の通販利用者からは待ちに待った再開を喜ぶ声が上がっています。

また、当時サウンドハウス社が自ら事件発生から対応完了までの経緯、カード会社やセキュリティ調査会社、行政との交渉内容を詳細に記した経緯報告書を公開したことも話題となりました。

報告書では、同社が漏洩発覚後のカード会社とのやりとりや顧客からの問い合わせへの対応、情報公開のタイミングに苦慮していたことが窺えます。攻撃の手法は、2008年当時すでに有名だったSQLインジェクションというものですが、攻撃の発覚から応急措置、顧客への説明、再発防止策等、情報漏洩が発生した企業の対応の生々しい実例として参考になります。

報告書によると、攻撃者は、SQLインジェクションによってデータベースサーバを直接操作するためのバックドアを作成しました。このバックドアを利用し、さらに別のサーバにバックドアを埋め込み、悪性プログラムを置いた、と推測されています。攻撃は、中国国内の複数のIPアドレスから仕掛けられており、中国のブログに2006年時点で、サウンドハウス社のサイトへの攻撃マニュアルが掲載されていたことも分かったそうです。

SQLインジェクションによる被害からの復旧コストは、情報処理推進機構(IPA)の推定では1億円を超えうる規模に及び、実際にサウンドハウス社の例では122,884名に1,000円の補償を負担しています。補償のほかにも専門家による調査、システムの入れ替え、顧客対応、一時閉鎖による営業機会の逸失、風評被害といった負担が考えられます。

上記リリースでさらに注目すべきは、サウンドハウス社がPCIDSSの認証を取得した点です。
PCIDSSはクレジットカード業界のセキュリティ基準であり、カード情報を扱うにあたって求められる高いレベルのセキュリティ管理策を実施しなければ認証を受けられません。同社が漏洩事故を受けてクレジット会社から加盟店契約を解除された後、PCIDSS認証を取得することが加盟店契約再開の条件とされていたかどうか分かりませんが、顧客からの信頼回復を目指して、PCIDSS認証取得に向けて安全に情報管理できる体制を整え、多大なコストをかけて対策を重ねてきたのでしょう。経緯報告書やサウンドハウス社の代表の方の発言を読みますと、セキュリティに関して若干他力本願な傾向が見受けられるところもありますが、企業の存続危機を脱してPCIDSS取得まで漕ぎ着けた7年の経過には並々ならぬものを感じずにはいられません。

2015年5月に発生した日本年金機能の情報漏洩事件をきっかけとして「標的型サイバー攻撃」への対策の必要性が叫ばれていますが、サウンドハウス社は2008年時点で、企業が「サイバー戦争」の渦中にいる旨の発言をしています。現在に至るまで攻撃手法は様々ですが、企業が保有する大切な情報が常に狙われており、漏洩事故が決して対岸の火事でないことが分かるかと思います。