昨年12月に不正アクセスにより、情報漏洩したと発表した資生堂の子会社で、オンラインショッピングを手掛ける株式会社イプサが、その後の結果を発表した。
【概要】
2016 年 11 月 4 日、イプサは、クレジットカード決済代行会社から の連絡により、インターネット販売を行っているイプサ公式サイトに外 部から不正アクセスが行われている可能性があると認識。直ちにシステムを停止し、外部の調査機関に依頼したとのこと。
【調査結果】
・イプサ公式サイトの EC サイトにおけるウェブサーバの脆弱性(※SSI)を狙ったサイバー攻撃が原因となった。
※SSI(Server Side Includes)はウェブサーバの操作を正規に行うためのプログラム技術
・結果、サイトに会員登録していたクレジットカード情報 56,121 件を含むお客さま情報 421,313 件分の個人情報が外部に流出した見込み。
・、12 月 2 日、個人情報流出の 可能性があるお客さまにeメールで個別にご連絡。
・さらに詳細を調査した結果、クレジットカード情 報流出の可能性がないとは断定できない 9,699 名に加え、個人情報流出の疑いがある 150 名の存在が判明し、それぞれ個別に連絡対応。
【流出した情報】
上記の調査の結果から、流出した可能性のある個人情報は以下のとおりです。
(1)クレジットカード情報
対 象: 以下の期間にイプサ公式 EC サイトにおいてクレジットカード決済をされた方 2011 年 12 月 14 日~2016 年 11 月 4 日(調査に基づく最大期間)
項 目: カード会員名、カード番号、住所、カード有効期限
※パスワード、セキュリティコードは流出しておりません
件 数: 最大 56,121 件
(2)クレジットカード情報以外の個人情報
対 象: 2016 年 11 月 4 日時点でイプサ公式 EC サイトにご登録の全てのお客さま
項 目: 氏名、性別、生年月日、年齢、職業、電話番号、メールアドレス、住所、購入履歴、 ログインパスワード
件 数: 421,313 件(上記(i)のお客さまを含む)
【原因】
(1)SSI に起因する脆弱性に対する認識不足
SSI 技術の利用に関する脆弱性の認識が甘 く、当該技術の利用箇所を限りなく少なくするなどの対策が取られていなかった。
(2)セキュリティ対策不足
EC サイトにおけるセキュリティ対策がファイアウォール9のみという不十分な状 態であったものの、他のセキュリティ対策も導入済みであるとイプサが誤認していたこと。
(3)クレジットカード情報保持に対する誤認
本来サイト内にクレジットカード情報は保持しない設計としていたが、サーバ内 に情報が残されていたことが判明しました。これは、デバックモード(プログラム上の問題点を見つけるためのテスト仕様の ため、クレジットカード情報などの履歴が残る設定)の状態のままで運用してしまっていたことが原因。
(4)イプサの管理体制不備
イプサ社内のサイト管理に関する責任部門が不明確であり、委託先であるソフトウェ ア開発会社に対する管理監督や意思疎通が十分でなかったこと。
などを挙げています。今後は資生堂グループを挙げて管理体制や情報セキュリティ強化を図るとのことです。
【サイバーセキュリティソリューションズの見解】
今回は結果発表ということでかなり詳細な報告がなされています。直接の原因はWebサーバーの脆弱性ということですが、それを引き起こしたのは管理体制の甘さであり、さらにはサイトの運営会社への丸投げの構図と見て取れます。弊社もよくお客様には申し上げるのですが、大部分のところはお任せいただいて全く構わないのですが、やはり相手先企業様には担当者を立てていただきたいということです。これにより、社内の責任の所在がはっきりとし、いま、どのような状況なのかを常に気にする環境がおのずと整うからです。このような環境が整っていればたとえ問題が発生してもその後の処理スピードが全く違ってきます。また技術は絶えず古くなります。定期的に脆弱性診断を実施し、セキュリティホールをつぶしておきたいですね。
⇒サイバーセキュリティ対策サービスはこちら
サイバーセキュリティソリューションズにお任せください。詳細;株式会社 イプサ
PARTNER
