無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

2016年11月、資生堂の子会社である化粧品販売企業「イプサ」は、外部からの不正アクセスにより顧客情報の流出を起こしました。親会社である資生堂の顧客情報は守られましたが、それでも深刻な規模の漏洩事件となりました。

今回は、この事件についてまとめます。

事件の概要

流出した情報

2011年12月14日～2016年11月4日の期間にイプサを利用した顧客情報。

• クレジットカード利用顧客情報：5万6,121件
  カード会員名、カード番号、有効期限、住所
• クレジットカード情報を含まない顧客情報：42万1,313件
  氏名、年齢、性別、職業、連絡先、ログインパスワード、購入履歴

以下は、追跡調査によって判明した流出内容です。

• クレジットカード情報流出の可能性がないとは断定できない顧客情報：9,699名
• 個人情報流出の疑いがある顧客情報：150件

※どちらもイプサ独自の基準であり、具体的な内容は不明のままです。

原因（問題点）

本件は、イプサが運営するECサイトのデータを有する、ウェブサーバにおいて、ウェブサーバ機能の1つであるSSI(Server Side Include)の脆弱性を利用した、外部からの不正アクセスが原因です。

不正アクセスの代表例である「バックドア」を利用したものであり、情報漏洩の規模はかなり大きななものとなりました。

事件後の対策

イプサは大手企業である資生堂の子会社であることから、再発防止策及び顧客対応はかなり充実したものでした。詳細は以下の通りです。

再発防止策

• 情報漏洩が発覚した当日中に、クレジットカード決済を停止。外部調査機関への依頼。
• イプサ公式オンラインショップを、セキュリティ対策完了までの間、運営停止。
• 不正取引の拡大を防ぐため、各クレジットカード会社との連携監視体制。
• 資生堂情報管理部門による、グループ企業全社を対象に、統一した情報セキュリティ維持体制の構築を開始。

顧客対応面

• 専用ダイヤルによる相談窓口の設置
• クレジットカードの再発行に必要な手数料を負担
• 被害者に対する個別の謝罪及び連絡

イプサはどのような対策を行っていれば防げたのか

ECサイト上のクレジットカード情報流出が起きる場合、まず疑うべきは決済システムがPCIDSS（クレジットカード情報の安全基準）を満たしていたかどうかの確認です。

情報漏洩で最も怖いのはクレジットカード情報の漏えいだと言われています。発生を未然に防ぐためにも、決済システムがカード情報を自社サーバ内に残すスタイルを取っている場合は、カード情報を自社サーバに残さない「モジュール型の決済代行システムを導入する」などの対策が必要でしょう。

バックドアなど脆弱性の把握も必要

外部アクセスで最も多い手法の１つが「バックドア」を利用した攻撃です。ECサイトなど、多くの顧客情報を保有するコンテンツを運営するにあたってはまず警戒すべき事案であり、被害発生前にリスクを知ることが大切だと言えるでしょう。

モジュール型の決済代行システムを導入しても、システムによっては自社サーバ内に暗号化されたカード情報が保存されることもあるため、セキュリティ部門は定期的に監視することが大切です。

再発防止のためにも、管理部門はポートスキャンを行い無用なポートの開閉やアクセスログの痕跡を追跡監視し、運用管理のために設置された管理者用プロセスが悪用されないかを確認するシステムを構築すべきだと考えられます。

もちろん、サイバーセキュリティを得意とする第三者企業への委託も、有効な対策として挙げられるでしょう。

顧客説明は丁寧かつ明確に

最後に、忘れてはならないのが顧客対応の充実です。いくらECサイトやサーバ上のセキュリティを強化したところで、顧客感情の改善が得られなければ、まさに“後の祭り”です。その上、顧客への周知を怠り不正利用が続発すると、最悪の場合は訴訟問題の懸念も噴出します。

今回の事件を受けてイプサが対応したように、被害の抑止と謝意の表明を、様々な連絡方法でアプローチすることが大切です。

＜参照＞

• 株式会社イプサ公式オンラインショップへの不正アクセスに関する調査報告書／株式会社イプサ(PDF)
• 弊社通販サイト「イプサ公式オンラインショップ」における不正アクセスによるお客さま情報流出に関するお知らせとお詫び／株式会社イプサ