セキュリティの
学び場

今回の解説ニュース

ECサイトが脆弱性を突かれて、個人情報が漏洩してしまったということです。後が絶えないECサイトからのインシデントについて、利用者側でできる対策と、運営者側でできる対策について説明します。

今回のインシデントは、製品等を購入した顧客のカード情報が漏えいし、一部顧客のカード情報が不正利用された可能性があるということです。また、顧客のカード情報以外の個人情報にも外部から不正アクセスがあり、漏えいした可能性も判明しています。原因として、旧システムの一部の脆弱性を突いた第三者不正アクセスでペイメントアプリケーションの改ざんが行われたことが挙げられています。

対策として、対象の顧客に別途、メール及び書状にて謝罪と案内を個別に行っています。また、カード会社と連携して漏えいした可能性のあるカードの取引を、継続してモニタリングを実施しているということです。再発防止策として、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行うということです。

運営側のインシデント、被害者である利用者側ができる対応は

インシデントの被害を受けてしまった利用者側でできる対応として、クレジットカードが不正利用されていないかの確認と、ECサイトで使っていたパスワードを他のサービスでも使っていた場合は、速やかに変更することが必要です。

まず、ECサイトから個人情報漏えいの連絡を受けた場合は、使用していたクレジットカードが不正利用されていないか、速やかに確認することが必要です。今回のインシデントでも、顧客に対して身に覚えのない項目があった場合はカード会社に問い合わせるよう呼びかけています。万が一、身に覚えのない請求項目の記載があった場合は、クレジットカードの裏面に記載があるカード会社に問い合わせしましょう。

また、ECサイトで使っていたパスワードと同じものを他のサービスで使っていた場合は、速やかに変更することが必要です。漏えいしたパスワードを第三者に悪用されてさらに被害が拡大してしまうことを防ぐ必要があります。このような状況も想定して、複数のサービスでパスワードを使いまわすことは、あらかじめ避けるようにしましょう。

システムに大きな脆弱性が発生、そもそも気付けるものなのか？

システムの脆弱性に気が付くためには、受動的に公表される脆弱性と、能動的に発見する脆弱性の両方について把握する必要があります。

システムは大きく分けて、オープンソースなどの既に存在しているソフトウェアと、Webアプリケーションなどの自ら開発しているソフトウェアを組み合わせて構築されることが考えられます。脆弱性を速やかに把握するためには、それぞれについて個別の取り組みを行うことが必要です。

既に存在しているソフトウェアの場合、提供元から公表されているセキュリティ情報を常に把握することが求められます。逆に、セキュリティ情報が公表されていないソフトウェアを利用することはリスクが潜在していることを理解することも必要です。緊急度の高い脆弱性が公表された場合は、速やかに修正プログラムの適用を検討しましょう。

自ら開発しているソフトウェアの場合、脆弱性診断で独自に脆弱性を発見することが求められます。ソフトウェアの開発を外部へ委託する場合は、機能面の品質だけでなく、非機能面のセキュリティについても、何らかの形で担保するよう契約書に織り込むことも必要です。脆弱性はリリース前だけでなく、定期的に洗い出すようにしましょう。

今回は、システムで発生するインシデントの、利用者側でできる対策と、運営者側でできる対策についてお届けしました。