無料メルマガ登録でプレゼント！書籍「セキュリティ対策の基礎知識」

画像：ベクター株式会社より

2012年3月に、ダウンロードサイトなどで知られる株式会社ベクターが、外部アクセスによる情報漏洩があったことを公表しました。発覚当初の発表によると、予測される被害可能性は最大で26万1,161件（うちクレジットカード情報は463件）と大きく、かなりの波紋を呼んだ事件です。

しかし、その後の第三者調査機関の調査報告を受けた同社発表によると、流出の可能性が高いのはクレジットカード情報のみであり、大半の情報は流出の不安はないとの見解を示しています。

今回は、このベクターの事件についてまとめます。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから

事件の概要

事件発生後の経緯は下記の通りです。

流出した情報

ベクターが運営するPC 向けオンラインゲームの決済に使用されたクレジットカード情報463件。内容は「カード名義人、カード番号、有効期限、セキュリティコード」です。また、同時にVectorのユーザー情報最大26万1,161件の個人情報が流出した可能性も指摘されていましたが、調査の結果、上記以外の情報流出は無いと公表しています。

なお、同社の今回のカード情報の被害はPC向けオンラインゲームの決済利用者に限定されており、モバイルゲームやソフトウェア購入の決済を行った方の情報は含まれていないとのことです。

原因（問題点）

手口は外部アクセスによるものであり、決済プログラムの改ざんが行われたことが、直接の原因です。

マルウェアによる被害の表記があるだけで、詳しい手口は公開されていませんが、ベクター側は個人情報の削減や暗号化、そしてファイヤーウォールの強度等複数の対応を実施しており、この辺りの脆弱性も間接的な原因であったと推察できます。

事件後の対策

この事件を受けて、ベクター側が実施した対応は以下の通りです。

再発防止策

• ファイアウォールの設定及び、業務別ネットワークセグメント間のアクセス制限の見直しによる、外部アクセス対策。
• 重要個人情報の暗号化を行った上で、保有範囲を限定することで漏洩のリスクに備える。
• 通信監視を行う専門機器を設置し、社内外の通信を専門会社に依頼し、不正なデータ運用の監視を行う。
• 同社が運営するPC向けオンラインゲームポータル「GAMESPACE 24」のID及びパスワードシステムを改変。よりセキュリティ性の高いワンタイムパスワードの導入も実施。

決済システムの改変

• グローバルセキュリティ基準であるPCIDSSに準拠したセキュリティシステムを実施し、カード情報のセキュリティ向上を図る。
• 決済代行システムの導入。モジュール型やリンク型決済代行システムに代表される、自社サーバにカード情報を保有しない代行会社を利用した決済方式の導入。

顧客対応面

• ウェブサイトによる事実の報告及び謝罪対応。
• 専用電話回線窓口の設置（2017年現在は終了）
• カード情報の漏洩被害者に対する個別の連絡報告。

まとめ

同社の最終報告によると流出した情報はクレジットカード情報に限定されており、犯人はカード情報の略取による金銭の収奪が目的と推察できます。

この手の不正アクセスは近年増々勢いを増しており、ベクター側としては自社サーバにカード情報を保有しない、決済代行会社を利用したリンク型やモジュール型の決済代行システムの導入を行うべきだったと言えるでしょう。

また、不正アクセスそのものを防ぐ為にも、ウェブサイトの管理及び監視システムの見直しは不可欠です。アクセスポートや管理者用のバックドアを利用した攻撃に備えて、セキュリティ上の対策を施すべきだと分析できます。

なお、インターネットコンテンツを利用したサービスは、通常の企業よりも高いセキュリティ性が求めらると考えます。ネットサービスを利用する顧客は、通常よりも情報セキュリティに対する意識が高く、情報漏洩を起こした企業に対して厳しい判断を下す傾向にあるからです。

それは、今回のベクターのIR情報にて如実に現れており、同社が受けた被害の大きさを裏付けていると言えるでしょう。

＜参照＞

• 当社サーバへの不正アクセスに対する調査結果（最終報告）／株式会社ベクター
• IR情報／株式会社ベクター
• ベクターに不正アクセス、最大26万1161人分の個人情報流出のおそれ／ITmedia NEWS

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから