「スイーツパラダイス」を運営する井上商事は6月7日、運営するオンラインショップ「スイーツパラダイス オンラインショップ」が第三者からの不正アクセスを受け、セキュリティコードを含むクレジットカード情報、7645件が漏洩(ろうえい)した恐れがあることを発表しました。

 世の中では、Emotetやランサムウェアの被害が絶えず、メディアでもマルウェア感染に起因するシステム障害、業務停止といった問題が騒がれがちです。一方で、脆弱(ぜいじゃく)性を突いた不正アクセスによってペイメントアプリケーションが改ざんされ、クレジットカード情報が漏洩してしまう被害もまた継続的に発生しています。

 それも、1つのインシデントで数百万、数千万件といった情報が漏洩し、多くのユーザーが影響を被る大規模なケースは近年あまり耳にしません。数千件から十数万件といった小中規模の被害がコンスタントに発生している印象です。うがちすぎかもしれませんが、確実に金銭を手にしようと考えるサイバー犯罪者が、目立ちすぎない程度に犯罪を繰り返しているようにも思え、より悪質化しているように感じます。

 井上商事のプレスリリースによると、不正アクセスが発生したのは今から半年前の21年12月7、8日のことでした。第一報が入ったのは顧客と一部のクレジットカード会社、すなわち外部からの指摘によるものだったといいます。情報漏洩の可能性について指摘を受けて同社はクレジットカード決済処理を停止するともに調査を開始し、事実確認ができた22年6月になって情報を公開したことになります。

 同社によると、不正アクセスの手法は、少なくともSQLインジェクションによるデータベースへのダイレクトなアクセスではありません。そもそも、18年6月の割賦販売法改正によって、オンラインショッピングサービスを提供する企業では、自社ではセキュリティコードも含めたクレジットカード情報を保存せず、決済代行業者に処理を委託する非保持化が進んでおり、攻撃者にとってうまみのある手法とは言えないでしょう。

 代わりにこの数年横行しているのが、カード情報入力フォームなどを改ざんし、利用者が入力したクレジットカード情報を盗み取る手法で、「Webスキミング」などとも呼ばれています。詳しい手口については、セキュリティ専門家の徳丸浩氏の動画が参考になります。

 こうした攻撃への対策は、Webアプリケーションに脆弱性がないかを検査し、適宜修正していくことに尽きます。それも、最近では顧客を引きつけるために頻繁に改修が行われることが常なので、できる限りこまめにチェックしていくことが重要でしょう。

●ベンダー任せに資金不足……中小企業が抱える構造的な問題

 井上商事は、「弊社としてもできる限りのセキュリティ対策を施しておりましたが、システムの比較的手薄な部分を狙われ、不正アクセスを許すこととなりました」と述べています。ただ、会社概要によると、同社の社員数は230人。この規模で、Webアプリケーションやセキュリティに詳しい知見を持つ担当者を持ち、定期的に脆弱性診断を受けられたかというと、難しいところではないでしょうか。

 ここからはまったくの推測になりますが、一般に、オンラインショッピングサービスを提供している中小企業のほとんどは、それほど潤沢に予算があるとは思えません。また、ITに詳しいスタッフに恵まれるのは幸運な一部の企業に過ぎないでしょう。

 となると、外部のベンダー、システムインテグレーターに依頼してECサイトを構築してもらい、あとの運用は担当者任せ。コンテンツは更新しても、ECサイトで利用しているパッケージの脆弱性情報対応まではとても手が回らず、「どっちが対応するの」「その費用はどうなるの」といった議論の中で対応が宙ぶらりんになってしまった、という状況は十分にあり得ると思われます。

 ここで連想されるのが、国内の医療機関などで発生したランサムウェア被害です。一連の侵入経路として、VPNアプライアンスに存在していた既知の脆弱性が指摘されています。この場合も、脆弱性情報は以前から公表されていたものの、そのアプライアンスを納入したベンダーと利用していた医療機関との間で同じように、誰が責任を持って対応するのという議論がまとまらず、あるいはその議論すらないままに、攻撃者に悪用されてしまったケースのように思います。

 20年前、10年前とは違い、ITシステムはどんな企業にとっても業務に不可欠な柱になっています。しかも一度導入して終わりではなく、継続的なメンテナンスが必要な、ある意味「生き物」に近い性質があります。

 にもかかわらず、ベンダー任せでとりあえず動いてはいるもののお金もそんなにない、IT担当者も十分にいない、という日本企業、特に中小企業のITシステムが抱える構造的な問題が、形は違えどもあちこちでくすぶり始めている、そんな思いがします。単刀直入に言ってしまえば、かけるべきところ(と人)にちゃんとお金を投資しよう、ベンダーも「ワンストップサービス」を謳うならばしっかり情報を伝え、対処を促そう、というところに尽きるのです。

●情報漏洩の公表タイミング、最適解は?

 スイーツパラダイスオンライン、そしてその前後に発生した不正アクセスによる情報漏洩事件を見ていてもう1つ気になるのが、攻撃が発覚してから公表に至るまでのタイムラグです。今回の件に限らず、やはり3カ月から半年、時には連絡を受けてから1年以上経ってようやく調査を終え、公表に至った自動車用品販売のアクセスのような例まであります。

 井上商事に対し、ログが消去されていたなどの理由で調査に困難を来したのかを尋ねたところ、「不正アクセスの手段等の詳細につきましては、申し上げることができません」との返答でした。これも、先ほど述べた、中小企業がかかるITシステム運用の問題点に起因しているのかもしれません。

 同社はプレスリリースの中で、「不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました」と述べています。この文面、どこかでテンプレート化されているのか、あちこちで見かけます。もし情報漏洩の当事者がこうした知らせを受け取ったならば、混乱はしないけれども、不信感は抱くのではないでしょうか。

 それはともかく個人情報漏洩の場合、不正アクセスを受けた企業は被害者でもありますが、情報を預かっていた顧客に対しては加害の一端を担った存在でもあります。広く一般に公表するのは調査結果がまとまってからとしても、被害を受ける恐れがある顧客や関係者には、速さを優先し、被害回復に向けた情報を提供していく方が、むしろ混乱や不信を招かぬ姿勢のように思えます。

 参考になりそうなのが、かつて「あさま山荘事件」が発生したとき、現場で指揮を執った佐々淳行氏が取った方法です。この事件は全国のマスコミが注目し、テレビや新聞の報道陣数百人が取材に詰めかけたそうです。一方で、人質の人命がかかっている事件でもあり、情報の公開には慎重を期す必要がありました。その中で各社が特ダネを狙ってバラバラに取材していては混乱が深まるばかり……ということで、決まった時間に発表を行うことにし、発表すべき事項がなくても「状況変化なし、発表事項なし」と定時報告を行うことで信頼を得ていったそうです。

 今の世は当時とは全く異なり、SNSが発達しているので一概にこれが正解とは言えません。けれど、相手に応じて速報・詳報を使い分けていくコミュニケーションの仕方を取るというのも、一つの方法ではないでしょうか。ただこれも、パブリックリレーションにリソースを割けるだけの体力が企業にあるか、というところに落ちてしまうのかもしれませんが。

●「詳細は差し控えます」は今後の再発防止につながるのか?

 ……と、折しも、ここまで記事をまとめたところで、ランサムウェア感染の被害に遭った徳島県つるぎ町立半田病院が一連の経緯をまとめた「コンピュータウイルス感染事案有識者会議調査報告書」を公表しました。半田病院は21年10月末にランサムウェアに感染し、救急や新規患者の受け入れを中止する事態に陥りました。通常診療に復旧できたのは翌年1月ですが、その後も有識者の意見を入れながら調査を進め、本編と100ページ以上にわたる技術編、ガイドラインからなる報告書の公表に至りました。

 半田病院のプレスリリースにはこう書かれています。「事件発生後、全国の病院や事業所が当院のようなサイバー攻撃を受けないためにも、詳細な状況を公表することが責任であると考え、できうる限りの情報を公開してきました」

 事実この報告書からは、ポジティブな面、ネガティブな面の両方で、多くの示唆を得ることができます。人も予算もないという現実の中で何もしないと何が起こるのか、少なくとも何をすべきかといった事柄を、自社で真剣に検討する際の参考になるはずです。

 サイバー攻撃を巡る取材では、とかく「セキュリティに関することなので、詳細は差し控えさせていただきます」というコメントが飛び交いがちです。しかし、本当の意味で再発防止を願うなら、このように情報を公開していく姿勢は評価すべきものであると考えます。広く一般に公開することまでは難しくても、信頼できる関係者間に伝えていく、というやり方もあるでしょう。デジタル時代に生きる一員の「共助」として、次に同じような被害に遭う人を減らすためにできることを考えるべきではないでしょうか。