2015年、新日本プロレスのWEBサーバに不正アクセスが仕掛けられ、クレジットカード情報を含む個人情報が、最大1万8,000件ほど流出しました。今回は、この事件についてまとめます。
事件の概要
WEBサーバの脆弱性を突いた外部犯による攻撃で、被害規模の大きさが話題を呼びました。
2015年4月28日 | 新日本プロレスが保有するクレジットカード情報の流出が危惧されると、決済企業から通知される。 |
2015年4月28日 | 新日本プロレスが委託しているシステム関連会社の操作により、クレジットカードの決済機能を停止。 |
2015年5月1日 | 新日本プロレスが依頼していた、第三者調査機関「Payment Card Forensics株式会社」が一連の流出事件の調査を開始。 |
2015年6月24日 | 調査機関の報告により、クレジットカード情報の流出が確定。新日本プロレスは同日、所轄警察署に被害届を提出し、今後の対応を相談。 |
流出した情報
平成25年8月28日〜平成27年4月28日の間に、新日本プロレスが収集していた「お客様情報(クレジットカード情報、及び、氏名・住所・電話番号・Eメールアドレス) 」、が最大1万8,000件流出(クレジットカード決済情報は1万1,155件)したものと考えられています。
原因(問題点)
外部による不正アクセスによる情報流出です。WEBコンテンツ及びサーバの脆弱性を利用し、攻撃されています。
事件後の対策
事件発生後に新日本プロレスが取った対策は、以下の通りです。
- オンラインのクレジットカード決済を停止。
- Webサーバ内に保管されていたクレジットカード情報の削除。
- 調査会社の指摘に基づいた、システムの脆弱性および管理体制の不備の改修。
- 決済機能において、クレジットカード情報の伝達プロセスを変更。並びにシステム切替。
- 社内にセキュリティ管理部門を新設。
新日本プロレスの対策に関する考察
今回の情報漏洩に対する新日本プロレス側の対応は、かなり迅速なものでした。
漏洩の事実が発覚したのは2015年4月28日の18時頃ですが、同日21時にはクレジットカード決済の機能を停止、情報隔離を行っています。早期に被害拡大を防ごうと努め、意思決定を行った事は、現代企業の対応として評価されるべきものです。
流出情報は約1万8,000件とかなりの規模となりましたが、事実公表後は誠実に謝罪会見を行い、説明責任も果たしています。保障や賠償を恐れて不誠実な行動を取る企業が目立つ中、このような新日本プロレスの対応は、企業ダメージを最小限に抑えるための、誠実な対応だと言えるでしょう。
問題点を正しく認識し、対策を講じる姿勢が大切
新日本プロレスが事件発生後に行った、再発防止策についてですが、こちらも全体的に成果が期待できるものを的確に実施しています。
特に攻撃対象となったWEBコンテンツ及びサーバが有する脆弱性は、早急に改善を施しており、同時に再発防止策としてシステム管理体制の不備を補填。これらは再発防止のための直接的な対策として、高い効果が期待できます。
また、決済システムを改修し、クレジットカード情報が自社サーバを通過しない決済機能に切り替えた点も、リスク管理に対する上手な対応方法です。利用者の利便性を損なうことなく、リスク負担を軽減する妙手だと言えるでしょう。
最後に、社内セキュリティの管理部門を設置したことも評価できます。新日本プロレスのように事業規模の大きな機関では、情報漏洩に対する被害は甚大なものに上ります。今回のような不測の事態に備えて、普段からセキュリティ監査に目を向ける機能を持たせることは、大きな意義がある改革です。
情報漏洩対策のモデルケースとも言える事案
結論として、今回の新日本プロレスの情報漏洩事件は、セキュリティ対策のモデルケースとも言える事案として評価できます。
情報漏洩の事実を素早く察知し、決済機能の停止と情報隔離を行った対応の速さは、見事と言うしかありません。また、自社調査ではカバーしきれない部分を第三者調査機関に委託する対応も、意思決定を行う経営陣のセキュリティ意識が高かったことの証左だと言えるでしょう。
要点をまとめると以下の通りとなります。是非参考にしてみて下さい。
- 情報漏洩の事実を素早く察知し、当日内に対応した情報管理体制
- 決済機能の停止とその後の調査対策を数日内に決断する、意思決定機関の情報保護意識の高さ
- 再発防止に向けた、セキュリティ部門の設置及び、システム改修。ハードとソフトの両面からのアプローチ。
<参照>