本シリーズは、セキュリティ事故の詳細なレポートを定期的に配信することで、セキュリティ活動の啓蒙と普及を目指すものです。

事故の概要

あるECサイトにおいて、カード情報を含む顧客情報数百件が流出した。 最大数千件の個人情報が流出した可能性もあるが、全ての証跡を追うことはできなかったため数百件の流出となっている。

また、他のショッピングサイト等で流出したカードの不正使用の報告も寄せられた。 この事故で、システムの最高責任者、担当者は更迭、左遷。

被害の総額

フォレンジック（証跡調査）費用 システムの再構築費用 顧客への保証 システム閉鎖中の機会損失などを試算すると数億円の損失となった。

事故発覚の経緯

「このECサイトにしか使っていないアドレスに不審なメールが来た」とのユーザーからの通報により発覚。

ただし、初期段階では通報を軽視し、最初の通報者は4カ月間対応されなかった。その後、別ユーザーより同様の問い合わせをもらうに至り、ECサイト運営会社は本腰をいれる。

調査会社を入れ証跡調査を行った結果、データ流出を確認。 ただし、証跡調査前に漏洩した恐れのある個人情報については漏洩という認定を行っていないので、問題が残る。

初動対応

事故調査後、とりあえずサイトを閉鎖。ユーザーへのお詫びをメールで配信した。ここまで最初のユーザーの通報から、半年間が経過していた。

本格的な対策は、セキュリティ対策を実施し既存のシステムを利用するのではなく、新たにシステムを構築することに決定。 システムのリニューアルを行うこととなる。

原因と予防策

この情報漏えいは、SQLインジェクションという手法により顧客情報が漏えいした。

SQLインジェクションを許してしまった主要な原因は以下のとおり。

・CMSを利用しており、その利用バージョンが長期に渡りアップデートされておらず古かった

・外部からシステムにリモート接続する際の認証方法やサイト内で利用されるパスワードの扱いについてもユーザー任意で4文字から設定できるなど甘かった

・事故を起こした際、システムは開発会社による運用保守を受けていたのだが、 システムのサーバサイドの運用保守に関しては誰も関与しておらず、 ミドルウェアやCMSのアップデートと適切な運用の実施がなされていなかった

これを受けて現在はシステムもリニューアルされ、事故の再発防止を目的としたセキュリティ対策の実施と監視体制を敷くことにより 早期に攻撃を検知し対応できるようにシステムは運用されている。

今回の事故はアプリケーションを構成する際のセキュリティ対策の未実施についても 問題であるが、サイトを運用する際の運用責任が不明確であった点と、 運営会社による確認がなされていなかったことも問題であると感じる。

システム管理の責任範囲が運営会社・システム会社とも不明確であるために起きた問題である。

モリイさんから一言

この事故発生当時、ワタシが好きな京アニ作品が深夜で放映されていたにも関わらず、それをリアルタイムで見ることができなかった暗黒時代の話である。

みなさんも、システムを外注される際はシステム運用の適切な運営を

・ソフトウェアの安定的な維持管理をどのように実践するのか

・OS、ミドルウェアを安全に保つための設定と運用をどのように実施するのか

・障害発生時の対応方法とエスカレーション方法

・システムの監視、検閲をどのように実践するのか

などの視点を持たれてみてはと思う。

細かい話するともっと細かく分類する必要があったり、 ハードウェアやNWのレイヤーに触れてはないが自社で回線や機器まで保有してる会社さんも 最近はクラウド利用してたりするので、そんなにいないかなって思うので超ざっくりな感じです。

※ただし、事業所におけるNW等は別です 御社は「外注に委託してます」と言うかもしれないが、 サイトを運営している運営母体は御社です、利用者には御社しか見えてません。 最後の責任は全部御社になるので、気をつけなはれや。

(Photo:kris krüg)