企業の“健全性”が見えたセシールオンラインショップ不正アクセス事件|サイバーセキュリティ.com

企業の“健全性”が見えたセシールオンラインショップ不正アクセス事件



7月31日に公表があったセシールオンラインショップの不正アクセス事件。サイバーセキュリティ.comでもニュースとして取り上げていましたが、この件色々と“示唆的”な内容がありましたので、少々分析をしていきたいと思います。

アカウントリスト攻撃にどの様に対処したのか

経緯については省きますが、発表されている内容から状況とセシールオンラインショップの考え方を見ていきたいと思います。

今回の攻撃は「アカウントリスト攻撃」でした。闇のネットワークで取引される、どこかから流出したメールアドレスとパスワードの組み合わせリストを使い、片っ端から入力してみるというものです。

あまりネットセキュリティに気を使わない方は、同じID・メールアドレスとパスワードの組み合わせを使い回してしまいます。その方が憶えやすくて便利ですからね。そこを狙った攻撃です。

IPアドレスを用いた対策、具体的な方法は

これに対し、セシールオンラインショップ側では、IPアドレス(Web上の住所のようなもの)を使った対策を立てました。考え方はこういったものでしょう。

  • 同じIPアドレス(同じ人)から、いくつものID・メールアドレスでアクセスを試みるのはおかしい。
  • 多少の使い回しや入力ミスがあったとしても、10回以上も違うIDを使うようでは、不正アクセスを狙っている可能性が高い。

そこで、同一IPアドレスから10回以上、違うID・メールアドレスを入力した場合は、アラートを上げて、そのIPアドレスからの取引をストップさせたのでしょう。この準備があったからこそ、15時頃に発生した攻撃を検知し、16時には被害状況まで全て把握することができたと考えられます。

「不正アクセス」と公表した背景

“なぜ発表したか”と書くと、“不正アクセスなんだから当たり前”と皆さん思われるかも知れません。攻撃されているのだから「不正アクセス」ですよね。でも、どうして不正アクセスだと判断したのでしょう?

前項に書いたように、“同じIPアドレスから違うIDで何度もアクセスしようとした”からに他なりません。

しかし、セシールオンラインショップ側に立てば「ID・パスワードが正しかったので、正常なアクセスだと判断した。違うIDで何度もアクセスする人も有り得る」と主張することだってできたのです。この場合は“不正アクセスではない”として、公表はしなかったでしょう。

実際、同様のケースがあっても発表していないオンラインショップも多いことでしょう。それでも発表したということには、2つの理由があるように思われます。

過去にも同様の攻撃被害

セシールオンラインショップでは、過去にも同様のアカウントリスト攻撃に晒されています。2016年8~9月の攻撃では、80件の攻撃で15件不正アクセスがなされました。この苦い思い出があったのでしょう。

同社は、当時も「さらなるセキュリティレベルの向上策を講じ、再発防止に努めてまいります」と宣言していました。言葉通り、セキュリティレベルは向上し、被害を最小限に留めることができたのです。

正しいIDとパスワードを使った不正アクセスを防ぐことは、とてつもなく難しいものです。なぜなら、脆弱性利用の不正アクセス等と違い“正しい情報”が入力されているからです。それでも、過去の事例に学び、検討し、被害を最小限に留めたということは、実に賞賛に値する行動だと思います。

顧客重視の姿勢

そしてもう1つ。こちらの方が理由としては素晴らしいと思うのですが、セシールオンラインショップには“顧客重視の姿勢”が感じられます。

例えば、セシールオンラインショップの利用規約。免責事項には下記の様に書いてあります。

損害が当社の故意または重過失に起因する場合を除き、いかなる場合も…

自分たちに非が無ければ損害賠償する必要はありません。故に多くのオンラインショップの場合は、こう続きます。「一切の責任を負いません。」と。

ところが、セシールオンラインショップの利用規約は以下です。

損害賠償の範囲はお客様に現実に発生した通常損害の範囲に限られ、お客様のご注文にかかる商品等の代金額(税込)を上限とします。

セシールご利用規約より引用(2017/6/1改訂版)

“自分たちに非は無かったとしても、少しでもお客様の損害を低減したい”この利用規約には「顧客重視」という、企業としての確固たる信念と姿勢が感じられます。こういった企業姿勢があるからこそ、“自分たちに非はなくとも”不正アクセスの公表とお客様への注意喚起を行ったのでしょう。

正しい評価がなされるために

今の日本のセキュリティの報道は、インシデントが発生すると、全て“起こした企業が悪い”ように捉えられがちです。

しかし実際には、対応が悪い企業もあれば、しっかりした対応をする企業もあります。それを混同してはいけません。それを同様に扱うと“隠す”ようになるからです。

先に述べたように、今回のセシールオンラインショップのような不正アクセスは隠すことも可能です。しかし、顧客重視のセシールオンラインショップは、隠さず顧客のためにも堂々と経緯を報告し注意喚起を行いました。

こういう企業を評価し、支援しましょう。どうせ購入するのであれば、こういうオンラインショップから購入しましょう。

最後に

サイバー攻撃はどこのオンラインショップにも起こります。その攻撃に対し、“どういう姿勢で臨んでいるか”をきちんと確認しましょう。販売価格だけでショップを選んでいては、ショップ自体の健全性は見えてきません。

正しい行動を起こす企業が評価され、賞賛を浴びる。隠蔽体質の企業は評価を下げる。我々ユーザーが正しい企業評価をして行くことが、健全なネットショップの育成に繋がって行くのです。


SNSでもご購読できます。