 |
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた |
 |
「えらいことになってしまった。覚悟せなあかんな」。
2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。
まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対策を進めた。続いて,どれだけの情報が漏れたのかを詳細に調査し,8月6日に漏洩の事実を公表。最大8万6169件のカード情報を含む65万3424件の個人情報が漏洩したことを明らかにした。会員として登録していた27万人は,名前やパスワード,住所,電話番号などが漏れた可能性があった。
そのあと押し寄せた1万2400件のクレームに真摯に対応しながら(別掲記事参照),再発防止策をまとめる。三つのセキュリティ強化策を9月5日に発表し,約50人の全社員が一丸となって取り組んでいった。
事業存続の危機にも成り得た事態に,ミネルヴァはどう対処したのか。その軌跡をたどっていこう。前半では緊急対応の様子を,後半では再発防止策の実施までを追う。
緊急対応
Webアプリのチェックを人手で3日かけて実施
情報漏洩に気付くきっかけになったのは,クレジットカード会社からの連絡である。冒頭のエピソードの前日のことで,内容は「カード情報漏洩の可能性があるので調査してほしい」というもの。中島氏は当初「なんかの間違いやろう」と高をくくっていた。EC事業者大手の一角として,適切なセキュリティ対策を施してきた自信もあった。
中島氏は翌7月10日,カード会社から紹介されたセキュリティ専業ベンダーのラック(本社:東京都)に連絡を取った。すぐに大阪に来てくれるというラックの担当者から言われたのは,「サーバーのパスワードをすべて変更し,見慣れないプログラムがサイトにないかどうか確認してほしい」ということだった。
ナチュラムのWebシステムを統括する森本武司氏(ミネルヴァ・ホールディングス システム部 部長)はメンバーと一緒に早速作業を開始した。「見慣れないプログラムなんて,見つからないでくれ」という期待はすぐに裏切られた。作った覚えのない「x.asp」という名前のファイルが,外部からアクセス可能な状態で存在していた。このファイルを利用すると,外部から顧客マスター・データベースにアクセス可能で,個人情報を取り出せるというシロモノだった。「これはまずい」。森本氏は頭がくらくらした。
森本氏は付き合いのあるベンダーに応援を要請することにした。ECシステムの外販で協力関係にあるシーポイントに連絡を取り,浜松市の本社から2人の技術者に飛んで来てもらった。
その夜の午後11時30分,驚くべきことが起こる。午後4時に到着していたラック担当者の指示の下,緊急対応を進めていると,パスワードを変更したばかりのコンテンツ管理用FTPサーバーが不正にログインされたのだ。このことは,パスワードが盗まれる脆弱性があることだけでなく,以前からその脆弱性を突かれて不正アクセスされていたことを見せつけられているようなものだった。このままでは被害を拡大させてしまう。森本氏は直ちにFTPサーバーを停止。中島氏と相談し,Webシステム上のカード情報をバックアップして消去し,サイトでのカード決済を停止した。
被害の拡大を防ぐ対策を講じるのに一刻の猶予もない。そこから森本氏の“地獄の70時間”が始まる。不眠不休の作業が続き,「本当にきつかった。いつ誰が倒れてもおかしくない状況だった」と森本氏は振り返る(図2)。
