セキュリティの
学び場

今回の解説ニュース

オンラインショップに不正アクセスがあり、クレジットカード情報が漏洩してしまったということです。ECサイトのインシデント対応で気を付けるべきポイントについて説明します。

今回のインシデントは、ECサイトを保守管理する会社から、顧客のクレジットカード情報の漏えい懸念について連絡があり、2021年3月5日から約3か月の期間にECサイトでクレジットカード決済を行った顧客129名のクレジットカードやID・パスワードを含む個人情報が流出した可能性があるこということです。

インシデントの原因として、ECサイトの脆弱性を突いた第三者の不正アクセスにより、カード決済を行うペイメントアプリケーションの改ざんが挙げられています。対策として、カード会社と連携して流出した可能性のあるカードによる取引のモニタリングを継続して実施し、監督官庁である個人情報保護委員会への報告と所轄警察署である千葉西警察署への被害申告を行っています。また、再発防止策として、調査結果を踏まえて現行システムの破棄とサーバを含めたシステムの移行と監視体制の強化を行うということです。

インシデントの共有や公表の在り方

インシデントが公表される場合もありますが、速やかに情報が共有されることは少数かもしれません。理由は、インシデントの公表後に想定される社会的な批判が、情報共有を遅らせる悪循環を生んでいることが考えられます。

インシデントの共有や公表の在り方について、2020年1月27日に総務省サイバーセキュリティタスクフォースから公表された「我が国のサイバーセキュリティ強化に向けた緊急提言案」と、2020年6月12日に経済産業省から公表された「昨今の産業を巡るサイバーセキュリティに係る状況の認識と今後の取組の方向性について」では、インシデントの共有については、いずれも「被害拡大防止のため、速やかに情報共有が行われるべき」としています。

また、インシデントの公表について、総務省は「影響を受ける主体との関係も踏まえつつ、個人情報等の流出が疑われる時点で速やかに検討する」としており、経済産業省は「影響範囲が広く限られた関係者間での情報共有では被害拡大防止にならない場合、速やかに公表する」としています。

一方で、多くの場合は被害範囲が確定し、漏えい情報の詳細が判明してから一般への公表が行われています。今回のインシデントでも、公表が遅れた経緯については「不確定な情報の公開はいたずらに混乱を招くおそれがあるため、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断」としています。また、メディア等でネガティブに取り上げられることがあるため、公表に対して躊躇してしまう経営者も多いのではないでしょうか。

以上をまとめると、公表を遅らせてしまう社会的な背景はありながらも、被害者保護を最優先に考え、そのために必要な情報の共有と公表は速やかにするべきと解釈できます。インシデントの公表に迷いが生じたら「それで被害者を守られているか」と自問自答してみるといいかもしれません。

インシデントの原因が明確にならない場合の対策

インシデントの原因が明確にならない場合は、システムの破棄を検討することが必要です。もし、システムを完全に移行する場合は、過去の脆弱性を引き継がないようにすることが必要です。

やみくもに調査をする時間より、新たなシステムへの移行で対策をする場合も

インシデントが発生した際に、システムのログが保存されていなかったり、監視の体制が十分ではなかったり、総じてセキュリティ対策が不十分であることが理由で、調査をしてもインシデントの原因が特定できない場合があります。そのような状況で、判明した問題点のみ修正してサービスを再開してしまうと、インシデントが再発してしまう可能性があります。そのような状況で、すべての原因が判明するまでやみくもに調査へ時間をかけるよりも、システムを破棄して完全に移行することで対策とする組織も見られるようになりました。その際に、過去の脆弱性を引き継がないようにすることが重要です。

インシデント原因となりうる問題点を払拭してのリリースを

具体的には、オープンソースを利用している場合はその時点で最新のバージョンを利用することや、カスタマイズを行っていたり独自のアプリケーションを利用したりしている場合は脆弱性診断を実施して、インシデントの原因となりうる問題点をなくした状態でリリースすることが必要です。特に、移行先のシステムへバックアップからデータの再利用をする際は、脆弱性まで引き継がないように注意しましょう。

もちろん、未然防止が何より求められるのは事実ですが、万が一のインシデントに備えて、ログの保存と監視は万全に行えるようにしておきましょう。