無料会員登録
2014年4月、インターネット通信販売会社の「サンナチュラルズ」が、外部からの不正アクセスにより、クレジットカード情報が流出する事件を起こしました。被害は6,159件と言われており、比較的規模の大きな情報漏洩として注目を集めました。
今回は、この事件についてまとめます。
事件の概要
| 2014年4月1日 | サンナチュラルズは外部委託先のクラウドサーバ上でECアプリケーションを構築、決済代行会社モジュール型サービスを運用開始。 |
| 2016年6月15日 | 当該アプリケーションの脆弱性を利用して、バックドアプログラムが設置される。(この時点では、サンナチュラルズは事態を把握していなかった) |
| 2016年7月20日 | 決済代行会社より、当該アプリケーションを利用したサンナチュラルズの顧客が、クレジットカードの不正利用に遭ったことを、サンナチュラルズ側に通告。 |
| 2016年7月21日 | 事態を把握したサンナチュラルズは、当該アプリケーションでのカード利用を停止。並行して、調査会社に不正アクセスの痕跡の調査を依頼。 |
| 2016年11月10日 | サンナチュラルズは依頼していた調査会社の最終報告を受けて、情報流出の事実を認め、最終調査報告の内容を公表。 |
流出した情報
2014年4月1日から2016年7月21日までの間の、クレジットカード情報(氏名、性別、住所、連絡先、カード番号等)6,159件が流出。
原因(問題点)
本件の最大の問題点は、ウェブアプリケーションの脆弱性を認識しておらず、事態の把握が遅れてしまったことです。
また、データベースサーバに暗号化されたクレジットカード番号を保存する構造になっていたことを、把握していなかったことも指摘されています。
事件後の対策
本件に対して、サンナチュラルズは以下の対策を取りました。企業ダメージを最小限に抑えるために必要な、顧客対応と再発防止策が中心です。
顧客対応部分
- 専用ダイヤルを設けて、顧客に対する被害の実態把握に努める。
- クレジットカード再発行にかかる必要を、サンナチュラルズ側が負担するように通告。
再発防止部分
- 調査機関より指摘された、脆弱性が認められる部分を修復。
- PCIDSS(クレジットカード情報の安全基準)に準拠したシステムへの改修。
どのような対策を行っていれば防げたのか
サンナチュラルズは情報流出対策として、クレジットカード情報を自社システムが保存しないよう、決済代行会社を利用したモジュール型サービスを採択。個人情報の漏えいに対する危機感はそれなりにあったものを考えられます。
ただし、本サービスがデータベースサーバに暗号化されたクレジットカード番号を保存する構造になっていることまでは把握しきれておらず、バックドアによる不正流出を許してしまう形となりました。
発生を防ぐためにはどうすべきだったか
直接的な対策としては、以下の方法が有効的だと考えられます。
- ポートスキャンを行い、無用なポートがアクティブになっていないか、外部スキャンの形跡がないか等をチェックすること。
- アプリケーション開発の際に、運用や管理のために管理者用のプロセスが付されている場合があるので、流出に備えて実態を把握しておく。
- 第三者組織による、自社提供サービスの安全性評価を実施。
もちろん、サンナチュラルズが事後的に行った、脆弱性が認められる部分の修復や、システムの改修も有効な対策です。
再発防止に向けて、情報保護意識の向上を
サンナチュラルズは、現段階において脆弱性を修復し、システムの改修を行ったということですから、再発等の特別な不安はないものと考えられます。また、顧客への対応も対話及び負担軽減の両面に及ぶなど、十分に配慮しており、事態の収束に努めている姿勢は評価できるでしょう。
サンナチュラルズのようなインターネットを使ったショッピング事業は、通常の企業よりも多くの顧客情報に触れる組織です。その分、個人情報保護に対する責任は重たく、厳重な管理が求められると認識すべきでしょう。
今回のように事後的な対策を取ることはもちろんですが、自社だけではカバーできない部分については、安全性に対する第三者組織の判断を参考にするなどの対応が必要であったと考えます。
<参考>
サンナチュラルズ、不正アクセスを受け個人情報が流出/livedoorBrog
不正アクセスによるカード情報流出懸念に関するお知らせとお詫び(PDF)/株式会社サンナチュラルズ
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
