特集 セキュリティ だから罠 わ 特 集 セキュリティ7大勘違い だから罠にハマる 勘違い 1 勘違い な 2 ウイルスを見つけたらソッコーで退治 開発会社が自主的に対策してくれる p.22 p.25 プロローグ 誰もが攻撃の標的になる…p.18 勘違い 5 サイバー攻撃が激しさを増す中、プロ集団であ る攻撃者と戦うには現実に即したセキュリティ の知識が欠かせない。セキュ リティに対する「勘 わな 違い」をしていると攻撃の罠にはまるからだ。 よくありがちな七つの「勘違い」を知り、 最 新の知識へアップデートしよう。 (堀内 かほり) ログを取っているから調査できる p.32 16 NIKKEI SYSTEMS 2015.10 3 勘違い 4 事故発生!セキュリティベンダーを呼んですぐ対処 最新セキュリティ機器なら “穴” はない p.28 p.30 勘違い 6 勘違い 7 怪しいメールを開かないよう教育 インシデントの情報開示は最小限 p.33 p.34 NIKKEI SYSTEMS 2015.10 17 セキュリティ7大勘違い だから罠にハマる 勘違い 特 集 7大勘違い に ハマる プロローグ 誰もが攻撃の標的になる ありがちな勘違いが対策を阻む 古い知識をアップデートしよう 誰もがサイバー攻撃の標的となり得る現在、セキュリティ対策の定期的な見直しが重要だ。その際、古くなった知識をアップ デートしたり、社内の迷信を打破したりする必要がある。勘違いしたままでは、効果的な対策を打てないからだ。 「最初は新手の詐欺かと思ったくら があり、知らぬ間に情報が漏えいして カード決済代行会社からの電話。その い、 信じられなかった」─。サイバー いるケースも多い。 翌日に訪問を受け、情報漏えいの疑い 特 集 攻撃を受けたハックルベリー・アンド・ では、サイバー攻撃を受け情報漏え があることが告げられた。 サンズの椙浦直樹氏(代表取締役)は、 いが発生すると、一体、どのような対 カード決済代行会社の担当者は、す セキュリティ7大勘違い だから罠にハマる クレジットカード情報漏えいの疑いで 応が必要となるのだろうか。ここでは ぐにWebシステムを停止し、専門機関 調査費用を提示されたときの心境をこ クレジットカード情報漏えいの対応に へ調査を要請することを椙浦氏に求め う語る。 ついて、椙浦氏が体験したことをつま た。 同社の事業は通信販売だけなので、 同社は2015年6月24日、 「イタリア自 びらかにする。 システムを止めると売り上げがなくな すぎうら 動車雑貨店WEBサイト」のWebシス テムが不正アクセスを受け、顧客のク 高額な調査費用に驚く ることになる。そうした中で、調査に どのくらいの費用がかかるのか不安を レジットカード情報が流出した疑いが 同社でクレジットカード情報漏えい 覚えつつ、椙浦氏はWebサイトを利用 あると公表した(図1) 。いまや、サイ の疑いが生じたのは、公表の2カ月前 停止状態にした。 バー攻撃はどの企業でも受ける可能性 の4月下旬だった(図2) 。きっかけは クレジットカード情報が漏えいした 場合、カード会社が認定した専門機関 による調査が必要となる。カード決済 代行会社が提示したのは3社だった。 このうち2社は海外企業だったので、 椙浦氏は円滑なやり取りを考えて国内 の1社を選んだ。 専門機関が提示した調査費用の見積 もりは250万円。椙浦氏は、他の国内 の専門機関を探してみたが見つから ず、見積もりを比較できないことに困 惑した。こうして冒頭の、 「何かの詐 欺ではないか」という気持ちが湧き上 がった。 椙浦氏は高額な費用にとまどいつつ も、調査を依頼した。調査では疑いの 1 カード情報漏えいを公表する文書 図 Yahoo!ショッピングで運営中のサイト (情報漏えいが発覚したものとは別のサイト) 「イタリア自動車雑貨店WEBサイト」を運営するハックルベリー・アンド・サンズは不正アクセスを受け、クレジッ トカード情報が漏えいした可能性があることを2015年6月24日に発表した 18 NIKKEI SYSTEMS 2015.10 あるWebシステムに対し、リモートか らアクセスして侵入の痕跡を探った。 調査期間は1カ月ほどだった。 7大勘違い だから罠にハマる セキュリティ 2015年 4月23日 公表文の調整にも時間がかかる カード決済代行会社 が、 クレジットカード情 報漏えいの可能性を 指摘。指定の専門機 関による調査を要請 調査の結果はクロだった。データ ベースに対して予期せぬコマンドを発 行され情報を抜き出される「SQLイン 翌日、専 門 機 関が来 社。調査費用の見積 もりは250万円 ジェクション」によって、クレジット カード情報が漏えいしたことが分かっ た。実は、不正アクセスを受けたのは、 情報漏えいの疑いの あるサイトを停止 会社が使用後に放置したテスト環境 めのIDとパスワードには推測しやすい カード会社との調整が 済み、公表文の内容 が確定 新しいWebシステムを 構築中 公表文を作成(疑いが 生じた時点から、独自 調査を基に作成開始) 公表文を公開 問い合わせ対応 警察に被害届、 経済産 業省に報告書を提出 ビジネス継続の検討 (他のサイトでネット通 販を継続) ものが設定されていた。その結果、攻 セキュリティ7大勘違い だから罠にハマる 情報漏えいの痕跡は見つかったが、 8月時点 特 集 専門機関に見積もり を依頼後、独自調査を 開始 だった。テスト環境にログインするた ベースへの攻撃を受けたと見られる。 専門機関から最終報 告書を受け取る。SQL インジェクションによ り、データベースから 情報が抜かれていた ことが判明 6月24日 ハックルベリー・アンド・サンズの対応 稼働中のWebシステムではなく、開発 撃者への不正アクセスを許し、データ 5月20日 2 カード情報漏えい発覚後の一連の対応 図 カード会社が指定した専門機関による調査と公表文の調整にそれぞれ1カ月かかった。その間、他のショッピ ングサイトでネット通販を継続し、売り上げを確保した 3月16日以降のログしか残っていな かったため、漏えいした件数は正確に は分からなかった。このため、データ ベースに入っていたクレジットカード クレジットカード情報が漏えいした 場合は、 カード会社の マニュアルに従って 対応することになる 調査に多額の費用がかかる (会社の規 模によっては準備や調達が難しい) 。 サイバー攻撃はビジネスの 継続に影響を及ぼす 別の通販サイトを運営していたので、 売り上げゼロを回避 できた。 販売チャネルを 複数持っておくとよい 顧客情報を通販サイト外にも保存して おき、顧客に情報漏えい について通知できるように しておくべき 情報すべて(約2万8000件)を漏えい の対象とすることにした。 椙浦氏が次に取りかかったのは、公 表文の作成である。実は疑いがかかっ た時点から、他社の公表文を参考にし て、クレジットカード情報が漏えいし た旨の公表文を作成していた。椙浦氏 3 インシデント(事故)対応で得られた知見 図 椙浦氏はインシデントに対応する過程で、カード情報特有の事情や費用、顧客対応、ビジネス継続などの知 見を得た は、すぐに公表して顧客に詫びたいと 考えたが、公表までにさらに1カ月か 口のパンクを防ぐため、同様にクレ まずは、漏えいした情報がクレジッ かった。 ジットカード情報が漏えいした別の企 トカード情報だと、カード会社主導で 公表が遅れた理由は、カード会社間 業と公表日をずらすといった調整も の対応となること。調査会社が限定さ の調整に時間がかかったからだ。決済 あった。 れる、公表文についてカード会社間の に利用できるすべてのカード会社が公 こうした調整を経て、発覚から2カ 調整に時間がかかるなど、自分の判断 表文を事前審査し、修正箇所などを指 月後の6月24日、椙浦氏は公表文をサ だけでは動けない。 「顧客は、公表ま 摘する。今回のケースでは、クレジッ イト上で公開。警察への被害届と、経 でに2カ月かかったことに対して不信 トカードのセキュリティコードは漏れ 済産業省への報告書も提出した。 感を持った。隠ぺい工作だと疑われ、 ていないので、被害の実件数は少ない と想定される。カード会社によって、 顧客に直接通知できなかった もどかしさを感じた」 (椙浦氏) 。 調査に多額の費用が掛かることも、 公表文に記載する被害件数の見解に差 椙浦氏は発覚後の一連の対応から、 当事者になって初めて気づいた。個人 異があった。このほか、問い合わせ窓 さまざまな知見を得た(図3) 。 経営など事業規模が小さいと、多額の NIKKEI SYSTEMS 2015.10 19
© Copyright 2024 ExpyDoc