サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

企業の“健全性”が見えたセシールオンラインショップ不正アクセス事件



画像:株式会社ディノス・セシールより

7月31日に公表があったセシールオンラインショップの不正アクセス事件。サイバーセキュリティ.comでもニュースとして取り上げていましたが、この件色々と“示唆的”な内容がありましたので、少々分析をしていきたいと思います。

アカウントリスト攻撃にどの様に対処したのか

経緯については省きますが、発表されている内容から状況とセシールオンラインショップの考え方を見ていきたいと思います。

今回の攻撃は「アカウントリスト攻撃」でした。闇のネットワークで取引される、どこかから流出したメールアドレスとパスワードの組み合わせリストを使い、片っ端から入力してみるというものです。

あまりネットセキュリティに気を使わない方は、同じID・メールアドレスとパスワードの組み合わせを使い回してしまいます。その方が憶えやすくて便利ですからね。そこを狙った攻撃です。

IPアドレスを用いた対策、具体的な方法は

これに対し、セシールオンラインショップ側では、IPアドレス(Web上の住所のようなもの)を使った対策を立てました。考え方はこういったものでしょう。

  • 同じIPアドレス(同じ人)から、いくつものID・メールアドレスでアクセスを試みるのはおかしい。
  • 多少の使い回しや入力ミスがあったとしても、10回以上も違うIDを使うようでは、不正アクセスを狙っている可能性が高い。

そこで、同一IPアドレスから10回以上、違うID・メールアドレスを入力した場合は、アラートを上げて、そのIPアドレスからの取引をストップさせたのでしょう。この準備があったからこそ、15時頃に発生した攻撃を検知し、16時には被害状況まで全て把握することができたと考えられます。

「不正アクセス」と公表した背景

“なぜ発表したか”と書くと、“不正アクセスなんだから当たり前”と皆さん思われるかも知れません。攻撃されているのだから「不正アクセス」ですよね。でも、どうして不正アクセスだと判断したのでしょう?

前項に書いたように、“同じIPアドレスから違うIDで何度もアクセスしようとした”からに他なりません。

しかし、セシールオンラインショップ側に立てば「ID・パスワードが正しかったので、正常なアクセスだと判断した。違うIDで何度もアクセスする人も有り得る」と主張することだってできたのです。この場合は“不正アクセスではない”として、公表はしなかったでしょう。

実際、同様のケースがあっても発表していないオンラインショップも多いことでしょう。それでも発表したということには、2つの理由があるように思われます。

過去にも同様の攻撃被害

セシールオンラインショップでは、過去にも同様のアカウントリスト攻撃に晒されています。2016年8~9月の攻撃では、80件の攻撃で15件不正アクセスがなされました。この苦い思い出があったのでしょう。

同社は、当時も「さらなるセキュリティレベルの向上策を講じ、再発防止に努めてまいります」と宣言していました。言葉通り、セキュリティレベルは向上し、被害を最小限に留めることができたのです。

正しいIDとパスワードを使った不正アクセスを防ぐことは、とてつもなく難しいものです。なぜなら、脆弱性利用の不正アクセス等と違い“正しい情報”が入力されているからです。それでも、過去の事例に学び、検討し、被害を最小限に留めたということは、実に賞賛に値する行動だと思います。

顧客重視の姿勢

そしてもう1つ。こちらの方が理由としては素晴らしいと思うのですが、セシールオンラインショップには“顧客重視の姿勢”が感じられます。

例えば、セシールオンラインショップの利用規約。免責事項には下記の様に書いてあります。

損害が当社の故意または重過失に起因する場合を除き、いかなる場合も…

自分たちに非が無ければ損害賠償する必要はありません。故に多くのオンラインショップの場合は、こう続きます。「一切の責任を負いません。」と。

ところが、セシールオンラインショップの利用規約は以下です。

損害賠償の範囲はお客様に現実に発生した通常損害の範囲に限られ、お客様のご注文にかかる商品等の代金額(税込)を上限とします。

セシールご利用規約より引用(2017/6/1改訂版)

“自分たちに非は無かったとしても、少しでもお客様の損害を低減したい”この利用規約には「顧客重視」という、企業としての確固たる信念と姿勢が感じられます。こういった企業姿勢があるからこそ、“自分たちに非はなくとも”不正アクセスの公表とお客様への注意喚起を行ったのでしょう。

正しい評価がなされるために

今の日本のセキュリティの報道は、インシデントが発生すると、全て“起こした企業が悪い”ように捉えられがちです。

しかし実際には、対応が悪い企業もあれば、しっかりした対応をする企業もあります。それを混同してはいけません。それを同様に扱うと“隠す”ようになるからです。

先に述べたように、今回のセシールオンラインショップのような不正アクセスは隠すことも可能です。しかし、顧客重視のセシールオンラインショップは、隠さず顧客のためにも堂々と経緯を報告し注意喚起を行いました。

こういう企業を評価し、支援しましょう。どうせ購入するのであれば、こういうオンラインショップから購入しましょう。

最後に

サイバー攻撃はどこのオンラインショップにも起こります。その攻撃に対し、“どういう姿勢で臨んでいるか”をきちんと確認しましょう。販売価格だけでショップを選んでいては、ショップ自体の健全性は見えてきません。

正しい行動を起こす企業が評価され、賞賛を浴びる。隠蔽体質の企業は評価を下げる。我々ユーザーが正しい企業評価をして行くことが、健全なネットショップの育成に繋がって行くのです。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。