2012年に発生したベクターでの大規模情報漏洩事件について|サイバーセキュリティ.com

2012年に発生したベクターでの大規模情報漏洩事件について



画像:ベクター株式会社より

2012年3月に、ダウンロードサイトなどで知られる株式会社ベクターが、外部アクセスによる情報漏洩があったことを公表しました。発覚当初の発表によると、予測される被害可能性は最大で26万1,161件(うちクレジットカード情報は463件)と大きく、かなりの波紋を呼んだ事件です。

しかし、その後の第三者調査機関の調査報告を受けた同社発表によると、流出の可能性が高いのはクレジットカード情報のみであり、大半の情報は流出の不安はないとの見解を示しています。

今回は、このベクターの事件についてまとめます。

事件の概要

事件発生後の経緯は下記の通りです。

2012年3月19日~3月21日 ベクターが保有するサーバに対して、合計4回の不正アクセスが行われる。
2012年3月21日 当該サーバに一部エラーが生じる。システム担当者が不正アクセスの痕跡を発見する。同日、ベクター側は不正アクセスに使われた経路を遮断。
2012年3月22日 同社が運営するウェブサイトにて、情報漏洩の可能性があることを公表。
2012年3月~4月25日 第三者調査機関2社に対して、外部調査を依頼。
2012年6月 ウェブサイトにて、PCIDSSの導入など、実施予定の複数の対応を公表。
2012年7月 第三者調査機関の調査結果を踏まえて、最終報告を公表。
2012年7月19日 窃取されたカード情報の所有者に対して、ベクターから連絡対応。
2012年7月24日 2013年の第1四半期(2012年4~6月)の決算にて、前年同期比45.8%減(売上高は567,811千円)を記録。ベクター側は不正アクセス事件による顧客の信用低下や営業自粛が影響したと分析している。

流出した情報

ベクターが運営するPC 向けオンラインゲームの決済に使用されたクレジットカード情報463件。内容は「カード名義人、カード番号、有効期限、セキュリティコード」です。また、同時にVectorのユーザー情報最大26万1,161件の個人情報が流出した可能性も指摘されていましたが、調査の結果、上記以外の情報流出は無いと公表しています。

なお、同社の今回のカード情報の被害はPC向けオンラインゲームの決済利用者に限定されており、モバイルゲームやソフトウェア購入の決済を行った方の情報は含まれていないとのことです。

原因(問題点)

手口は外部アクセスによるものであり、決済プログラムの改ざんが行われたことが、直接の原因です。

マルウェアによる被害の表記があるだけで、詳しい手口は公開されていませんが、ベクター側は個人情報の削減や暗号化、そしてファイヤーウォールの強度等複数の対応を実施しており、この辺りの脆弱性も間接的な原因であったと推察できます。

事件後の対策

この事件を受けて、ベクター側が実施した対応は以下の通りです。

再発防止策

  • ファイアウォールの設定及び、業務別ネットワークセグメント間のアクセス制限の見直しによる、外部アクセス対策。
  • 重要個人情報の暗号化を行った上で、保有範囲を限定することで漏洩のリスクに備える。
  • 通信監視を行う専門機器を設置し、社内外の通信を専門会社に依頼し、不正なデータ運用の監視を行う。
  • 同社が運営するPC向けオンラインゲームポータル「GAMESPACE 24」のID及びパスワードシステムを改変。よりセキュリティ性の高いワンタイムパスワードの導入も実施。

決済システムの改変

  • グローバルセキュリティ基準であるPCIDSSに準拠したセキュリティシステムを実施し、カード情報のセキュリティ向上を図る。
  • 決済代行システムの導入。モジュール型やリンク型決済代行システムに代表される、自社サーバにカード情報を保有しない代行会社を利用した決済方式の導入。

顧客対応面

  • ウェブサイトによる事実の報告及び謝罪対応。
  • 専用電話回線窓口の設置(2017年現在は終了)
  • カード情報の漏洩被害者に対する個別の連絡報告。

まとめ

同社の最終報告によると流出した情報はクレジットカード情報に限定されており、犯人はカード情報の略取による金銭の収奪が目的と推察できます。

この手の不正アクセスは近年増々勢いを増しており、ベクター側としては自社サーバにカード情報を保有しない、決済代行会社を利用したリンク型やモジュール型の決済代行システムの導入を行うべきだったと言えるでしょう。

また、不正アクセスそのものを防ぐ為にも、ウェブサイトの管理及び監視システムの見直しは不可欠です。アクセスポートや管理者用のバックドアを利用した攻撃に備えて、セキュリティ上の対策を施すべきだと分析できます。

なお、インターネットコンテンツを利用したサービスは、通常の企業よりも高いセキュリティ性が求めらると考えます。ネットサービスを利用する顧客は、通常よりも情報セキュリティに対する意識が高く、情報漏洩を起こした企業に対して厳しい判断を下す傾向にあるからです。

それは、今回のベクターのIR情報にて如実に現れており、同社が受けた被害の大きさを裏付けていると言えるでしょう。

<参照>


SNSでもご購読できます。