• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

問題解決の軌跡

ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応

ミネルヴァ・ホールディングス

安東 一真=日経SYSTEMS 2009/07/01 日経SYSTEMS
出典:日経SYSTEMS 2009年1月号pp.76-81
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した
2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった
3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた

 「えらいことになってしまった。覚悟せなあかんな」。

 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。

 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対策を進めた。続いて,どれだけの情報が漏れたのかを詳細に調査し,8月6日に漏洩の事実を公表。最大8万6169件のカード情報を含む65万3424件の個人情報が漏洩したことを明らかにした。会員として登録していた27万人は,名前やパスワード,住所,電話番号などが漏れた可能性があった。

図1●情報漏洩が判明してから再発防止策を実施するまでの経緯
[画像のクリックで拡大表示]

 そのあと押し寄せた1万2400件のクレームに真摯に対応しながら(別掲記事参照),再発防止策をまとめる。三つのセキュリティ強化策を9月5日に発表し,約50人の全社員が一丸となって取り組んでいった。

 事業存続の危機にも成り得た事態に,ミネルヴァはどう対処したのか。その軌跡をたどっていこう。前半では緊急対応の様子を,後半では再発防止策の実施までを追う。

緊急対応
Webアプリのチェックを人手で3日かけて実施

 情報漏洩に気付くきっかけになったのは,クレジットカード会社からの連絡である。冒頭のエピソードの前日のことで,内容は「カード情報漏洩の可能性があるので調査してほしい」というもの。中島氏は当初「なんかの間違いやろう」と高をくくっていた。EC事業者大手の一角として,適切なセキュリティ対策を施してきた自信もあった。

 中島氏は翌7月10日,カード会社から紹介されたセキュリティ専業ベンダーのラック(本社:東京都)に連絡を取った。すぐに大阪に来てくれるというラックの担当者から言われたのは,「サーバーのパスワードをすべて変更し,見慣れないプログラムがサイトにないかどうか確認してほしい」ということだった。

 ナチュラムのWebシステムを統括する森本武司氏(ミネルヴァ・ホールディングス システム部 部長)はメンバーと一緒に早速作業を開始した。「見慣れないプログラムなんて,見つからないでくれ」という期待はすぐに裏切られた。作った覚えのない「x.asp」という名前のファイルが,外部からアクセス可能な状態で存在していた。このファイルを利用すると,外部から顧客マスター・データベースにアクセス可能で,個人情報を取り出せるというシロモノだった。「これはまずい」。森本氏は頭がくらくらした。

 森本氏は付き合いのあるベンダーに応援を要請することにした。ECシステムの外販で協力関係にあるシーポイントに連絡を取り,浜松市の本社から2人の技術者に飛んで来てもらった。

 その夜の午後11時30分,驚くべきことが起こる。午後4時に到着していたラック担当者の指示の下,緊急対応を進めていると,パスワードを変更したばかりのコンテンツ管理用FTPサーバーが不正にログインされたのだ。このことは,パスワードが盗まれる脆弱性があることだけでなく,以前からその脆弱性を突かれて不正アクセスされていたことを見せつけられているようなものだった。このままでは被害を拡大させてしまう。森本氏は直ちにFTPサーバーを停止。中島氏と相談し,Webシステム上のカード情報をバックアップして消去し,サイトでのカード決済を停止した。

 被害の拡大を防ぐ対策を講じるのに一刻の猶予もない。そこから森本氏の“地獄の70時間”が始まる。不眠不休の作業が続き,「本当にきつかった。いつ誰が倒れてもおかしくない状況だった」と森本氏は振り返る(図2)。

図2●情報漏洩が判明したあとに実施した緊急対応
[画像のクリックで拡大表示]

ここから先はITpro会員(無料)の登録が必要です。

次ページ サーバーには3万本のプログラム
  • 1
  • 2
  • 3
  • 4

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【ゼロから挑戦!IoT開発】

    IoTには必ずバグがある

     単純なコーディングミスからインタフェースミスマッチまで、多様なバグがIoTに生息している。IoTシステムの仕様に未確定の部分があったり、構造や機能が複雑になったりすると、バグは飛躍的に増える。その種類も多様で、昆虫図鑑が作れるほどだ。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る