セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 インシデント解説|新サイト移行でトラブル多発、案内メールに別人ID記載やログイン時に別人情報表示

インシデント解説|新サイト移行でトラブル多発、案内メールに別人ID記載やログイン時に別人情報表示

ニュース解説
目次
  • 今回の解説ニュース
  • サイト移行に伴うセキュリティインシデントを防ぐ方法
  • 再発防止策「ダブルチェック」と「システムの利用」

今回の解説ニュース

新サイト移行でトラブル多発、案内メールに別人ID記載やログイン時に別人情報表示

高級ショコラ専門店を経営する株式会社オヴァールリエゾンは6月21日、6月8日に公表した同社が運営する「パレドオールオンラインショップ」会員情報の流出について続報を発表した。(記事はこちら)


【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

オンラインショップで新サイトへの移行に伴う対応において、複数回にわたって会員情報が流出してしまったということです。今回のインシデントにおける本質的な問題や対策について説明します。

今回のインシデントをまとめると「移行手続画面に他の会員情報が閲覧可能」と「本人とは異なる会員情報が記載されたメール送信」と「会員のメールアドレスをCcに入れてメール送信」の3点であると考えられます。それぞれについて時系列で整理して見ていきましょう。

6月4日、会員9200名に対して、移行手続画面に他の会員情報が表示されるURLが記載されたメールを送信、対応として該当箇所の修正を実施

6月5日、会員21588名に対して、他の会員情報が記載されたメールを送信、また、移行手続画面に他の会員情報が表示されるURLが引き続き記載されており、対応として3日後の6月8日、移行手続画面の停止を実施

6月10日、会員のメールアドレスがCcに記載されたメールを送信

以上が複数回にわたって発生したインシデントの概要です。同社では再発防止策として、2名での確認体制、案内メールのシステム利用、社内研修を通じて教育を徹底し、継続的に改善していくということです。

サイト移行に伴うセキュリティインシデントを防ぐ方法

サイト移行に伴うセキュリティインシデントを防ぐ方法として、想定外のトラブルに対応できる体制をもって臨むことが必要です。理由について説明します。

今回のインシデント対応で気になる点として、「初動対応の内容が不明」「インシデント発生が週末」「運営業者と連絡が取れない」ことの3点です。結果として、複数のインシデントが発生し、インシデントの把握や収束に時間を要したと考えられます。

まず、6月4日に発生した初回のインシデントについて、初動対応として「該当する箇所を修正」とありますが、この内容が十分ではなかったため、結果として、翌日の6月5日に発生した2回目のインシデントを招いた可能性があります。被害の拡大を防ぐためには、的確な初動対応が何より重要です。

また、移行に伴うインシデントの発生が週末であったことや、移行中に運営業者と連絡が取られない状態であったことから、想定外のトラブルに対応できる体制が整っていなかったことが考えられます。恒久的な情報管理体制はもちろん必要ですが、システム移行のような一時的にリスクを伴うイベントが発生する場合は、必要に応じて関係者と連絡を取られる体制で臨むことが求められます。インシデント対応の長期化は被害の拡大を招くからです。

再発防止策「ダブルチェック」と「システムの利用」

再発防止策をまとめると「ダブルチェック」と「システムの利用」の2点です。その他にできる対策としては、「属人性の排除」と「仕組化」が考えられます。なぜ、属人性の排除と仕組化が必要かについて説明します。

ダブルチェック

ダブルチェックは1人が間違っていても、もう1人が正しい判断が行えることを期待したチェック体制ですが、2人のいずれかが正しく判断できる保証はありません。もし、チェック体制自体が形骸化してしまった場合、本来の目的が達成できずにインシデントが発生してしまう可能性があります。

システムの利用

システムの利用は属人性を排除するためには有効な手段です。電卓が常に同じ答えを出せるように、システムは一定の条件下では常に同じ動作をするため、人間のような想定外のミスは発生しません。ただし、これはシステムが正しく設定できていることが前提となります。例えば、クラウドサービスは多くのシステムで利用されていますが、設定ミスが原因でインシデントが発生した事例が数多く存在しています。クラウドサービスの設定ミスを確認する仕組みとしてCSPMがあります。CSPMとは、Cloud Security Posture Managementの略で、主にクラウドサービスの設定ミスを管理する仕組みです。一般化しつつあるクラウドの責任共有モデルの考えに基づき、クラウドサービスの利用者側で責任を持つべき範囲を管理することができます。

人間のミスをゼロにすることは困難ですが、属人性を排除して仕組化することは、セキュリティインシデントを減らす有効な手段の一つになります。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ