2016年11月、資生堂の子会社である化粧品販売企業「イプサ」は、外部からの不正アクセスにより顧客情報の流出を起こしました。親会社である資生堂の顧客情報は守られましたが、それでも深刻な規模の漏洩事件となりました。

今回は、この事件についてまとめます。

事件の概要

2016年11月4日 決済代行会社より、化粧品販売企業「イプサ」が運営するサイト上で、情報流出の懸念があると連絡が入る。
連絡を受けたイプサは、直ちに当該サイトでのクレジットカード決済を停止。社会関連部門による対策本部を編成、同時に第三者調査機関に真相解明を依頼。
2016年11月7日 所轄警察署である赤坂警察署に、不正アクセス被害を通報。
2016年11月8日 経済産業省に事態を報告。
2016年11月25日 第三者調査機関より、原因や被害規模などについて報告を受ける。
2016年12月4日 情報漏洩元である、イプサ公式オンラインショップの全面的な停止を決定。同時に公式サイトにて情報漏洩の経緯を公表。
利用者に電子メールを利用して、情報漏洩の事実及び対策を通達し、パスワードの変更等を推奨する。
2016年12月12日 郵便を使い、漏洩被害者に対して改めて謝罪と今後の対策を報告。
2016年12月19日 「クレジットカード情報の流出被害者」に対して、お詫びの品を提供
2017年1月31日 イプサ公式ウェブサイトにて、第三者調査機関の詳しい調査内容及び調査結果を公開 。同時に、追跡調査により判明した、およそ1万人程度の被害者を公表。

流出した情報

2011年12月14日~2016年11月4日の期間にイプサを利用した顧客情報。

  • クレジットカード利用顧客情報:5万6,121件
    カード会員名、カード番号、有効期限、住所
  • クレジットカード情報を含まない顧客情報:42万1,313件
    氏名、年齢、性別、職業、連絡先、ログインパスワード、購入履歴

以下は、追跡調査によって判明した流出内容です。

  • クレジットカード情報流出の可能性がないとは断定できない顧客情報:9,699名
  • 個人情報流出の疑いがある顧客情報:150件

※どちらもイプサ独自の基準であり、具体的な内容は不明のままです。

原因(問題点)

本件は、イプサが運営するECサイトのデータを有する、ウェブサーバにおいて、ウェブサーバ機能の1つであるSSI(Server Side Include)の脆弱性を利用した、外部からの不正アクセスが原因です。

不正アクセスの代表例である「バックドア」を利用したものであり、情報漏洩の規模はかなり大きななものとなりました。

事件後の対策

イプサは大手企業である資生堂の子会社であることから、再発防止策及び顧客対応はかなり充実したものでした。詳細は以下の通りです。

再発防止策

  • 情報漏洩が発覚した当日中に、クレジットカード決済を停止。外部調査機関への依頼。
  • イプサ公式オンラインショップを、セキュリティ対策完了までの間、運営停止。
  • 不正取引の拡大を防ぐため、各クレジットカード会社との連携監視体制。
  • 資生堂情報管理部門による、グループ企業全社を対象に、統一した情報セキュリティ維持体制の構築を開始。

顧客対応面

  • 専用ダイヤルによる相談窓口の設置
  • クレジットカードの再発行に必要な手数料を負担
  • 被害者に対する個別の謝罪及び連絡

イプサはどのような対策を行っていれば防げたのか

ECサイト上のクレジットカード情報流出が起きる場合、まず疑うべきは決済システムがPCIDSS(クレジットカード情報の安全基準)を満たしていたかどうかの確認です。

情報漏洩で最も怖いのはクレジットカード情報の漏えいだと言われています。発生を未然に防ぐためにも、決済システムがカード情報を自社サーバ内に残すスタイルを取っている場合は、カード情報を自社サーバに残さない「モジュール型の決済代行システムを導入する」などの対策が必要でしょう。

バックドアなど脆弱性の把握も必要

外部アクセスで最も多い手法の1つが「バックドア」を利用した攻撃です。ECサイトなど、多くの顧客情報を保有するコンテンツを運営するにあたってはまず警戒すべき事案であり、被害発生前にリスクを知ることが大切だと言えるでしょう。

モジュール型の決済代行システムを導入しても、システムによっては自社サーバ内に暗号化されたカード情報が保存されることもあるため、セキュリティ部門は定期的に監視することが大切です。

再発防止のためにも、管理部門はポートスキャンを行い無用なポートの開閉やアクセスログの痕跡を追跡監視し、運用管理のために設置された管理者用プロセスが悪用されないかを確認するシステムを構築すべきだと考えられます。

もちろん、サイバーセキュリティを得意とする第三者企業への委託も、有効な対策として挙げられるでしょう。

顧客説明は丁寧かつ明確に

最後に、忘れてはならないのが顧客対応の充実です。いくらECサイトやサーバ上のセキュリティを強化したところで、顧客感情の改善が得られなければ、まさに“後の祭り”です。その上、顧客への周知を怠り不正利用が続発すると、最悪の場合は訴訟問題の懸念も噴出します。

今回の事件を受けてイプサが対応したように、被害の抑止と謝意の表明を、様々な連絡方法でアプローチすることが大切です。

<参照>

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。