ケーキ中心のバイキング式飲食店「スイーツパラダイス」の情報漏洩(ろうえい)に、利用客から批判の声が上がっている。運営元の井上商事(大阪市北区)は6月7日、同社通販サイトが第三者から不正アクセスを受け、顧客約7400人分のクレジットカード情報が流出した可能性があると発表。2021年末に情報漏洩の疑いを把握していたが、確認に時間を要し、約半年後の公表となった。

 同社はどのような不正アクセスを受けたのか。そして、なぜ公表が遅れたのか。事後対応のどこがまずかったのか。企業のリスクマネジメントを専門とする日本レジリエンス(東京都豊島区)代表の須田亨妃(すだ・ゆきひ)氏に解説してもらった。

 井上商事の発表によると、漏洩の可能性が判明したのは、21年8月28日〜12月8日に同社通販サイト「スイーツパラダイス オンラインショップ」を利用した7409人分のクレジットカードの名義人・番号・有効期限・セキュリティコード。カード情報一式が抜き取られていることにSNSでは驚きの声が広がった。利用客とみられる投稿者から、カードを悪用されたとの被害報告も相次いでいる。

●サイトを改ざんし侵入

 今回の不正アクセスはどのような手口で行われたのか。日本レジリエンス代表の須田亨妃氏はこう説明する。

 「通販サイトを構成するアプリやツール、ミドルウェアの脆弱性を悪用して、侵入、あるいはリモートからのコマンド操作で、サイト内にある支払い処理を行うアプリケーションを改ざんし、クレジットカード情報を含めた利用者情報を犯罪者の指定する場所に送信させていたものと推測される」

 こうしたサイトの改ざんは、不正アクセスのよくある手口だという。

 5月24日、和菓子製造の宗家源吉兆庵(そうけみなもときっちょうあん・岡山市北区)が、オンラインショップの不正アクセスを受け、顧客のクレジットカード情報1万4000件超が漏洩した可能性があると発表。カードの名義人、番号、有効期限、セキュリティコードが盗まれ、スイーツパラダイスと被害の内容が似ていることから「同一犯の可能性もある」と須田氏は指摘する。

●「立派な家を建てるがセコムを入れていない状態」

 サイトの改ざんはなぜ起こるのか。須田氏は、Webサイトを保護するセキュリティ対策が導入されていないのが原因だと指摘する。

 「サイバー攻撃からWebサイトを保護する『WAF(ワフ)』という防御ツールがあるが、導入している日本企業は、まだ20%未満というデータも存在する。こうした対策を取っていなかったのが今回の不正アクセスの原因」だと須田氏は話す。

 EC(電子商取引)サイトなどのWebサイトは作成するものの、セキュリティ対策は疎かになっている事業者が多く、分かりやすく例えると「立派な家を建てるがセコムを入れていない状態」(須田氏)がよく見られるという。

●公表が遅れた理由

 「今回の発表まで時間をいただいたことを、おわび申し上げます」

 井上商事は6月7日の公表文でこう謝罪した。同社は21年12月末に利用客と一部クレジットカード会社からの指摘で、情報漏洩の疑いを把握。22年2月末には第三者機関による調査で情報漏洩を確認。それから公表に、さらに3カ月を要した。

 今回の対応はどこに問題があったのか。

 公表がこのタイミングになったことについて、須田氏は「システム管理の不備によって、実情の把握と確認が手間取ったと考えられる」と指摘する。

 一方で、即時の公表の是非については意見が分かれるという。

 被害範囲が不確定な状態で公表すると、風評被害を招くほか、不要な再発行依頼や問い合わせという形で消費者やクレジットカード会社にもしわ寄せがいく。

 他方で、今回の公表文では2月末の第三者機関による調査完了から発表までに3カ月を要した経緯が記載されていない。須田氏は「3カ月間に何をしていたかを一文だけでも加えれば良かったのではないか」と説明する。

 その上で、須田氏はクライシスマネジメント(危機管理)の観点から「2月末に第三者機関による調査が完了した時点で、一次公表をする必要があった」と指摘する。

 クライシスマネジメントとは、サイバー攻撃などの危機が発生した際に、被害を最小限に抑えるためにいかに対処するかという考え方だ。よく耳にするBCP(事業継続計画)が、災害などに遭った際に事業をいかに復旧できるかという「復旧観点」であるのに対し、クライシスマネジメントは、一時対応として何が必要かという観点だ。

 半年後の公表となった理由について、井上商事は取材に対し、以下のように回答した。

 「本来であれば疑いが生じた時点でお客さまにご連絡し、注意を喚起するとともにおわび申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客さまへのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにしました」

 同社がもし、2月末に一次公表をしていれば、ここまでの批判は回避できたのかもしれない。

●今後、企業に求められる対策とは

 今回の不正アクセスの事案から、企業が学ぶべき教訓は何か。

 須田氏は「侵入されて細工されて情報を盗み出されるまで一定の時間が経っていながら気づかなかったことが問題の根源。監視と対応の重要性が改めて示された事件と言える」と指摘する。

 その上で「Webサイト自体の脆弱性を放置し、防御していなかったために侵入されてしまった。今後はWebサイト制作とWebセキュリティ(WAF)はセットで考える必要がある」と強調する。

 さらに、今回の井上商事の例と同様、ECサイトは運営しているが、決済システムは決済代行業者が別で管理している事例も多いという。とはいえ、サイトが改ざんされた場合、責任の所在はECサイトを運営する企業が負うことになる。

 「ECサイトは自分たちのものだが、決済システムは別の業者が管理しているから関係ない、ということにはならない。一体で考える必要がある」と須田氏は話す。

 従来から存在するサイトを改ざんする不正アクセス。今後も増加すると須田氏は見ている。「立派な家を建てるがセコムを入れていない」状態になっていないか。クライシスマネジメントの観点から整理できているか――。

 スイーツパラダイスの不正アクセス事件から明るみに出た課題は、多くの企業にとって共通の課題と言えそうだ。