ホンダ・カナダ向けサイトの顧客情報流出、集団訴訟に発展

2011.06.09

　セキュリティ関連で注目のブログ、今回は本田技研工業（ホンダ）のカナダ向けサイトでの情報漏洩に関する話題を紹介しよう。

　これは28万3000人以上の顧客情報が流出した事件で、英ソフォスはホンダが事件について顧客に通知するために郵送した書簡を、ブログに掲載した。通知は5月13日付だが、書面によるとホンダは3月に「myHonda」サイトおよび「myAcura」サイトへのアクセスが極端に増加したことに気付き、不正侵入があったことを確認していた。

顧客に送付した通知の画像

　ホンダは、不正アクセスの検出から顧客への通知までに2カ月以上もかかったことについて、「事態の重大性を評価し、正確にどのデータが流出したか把握するために（時間が）必要だった」と釈明している。

　漏洩したデータは、2009年に登録された顧客の名前と住所、および車両番号。そして、Webサイトに後日追加された情報によると、少数の顧客はホンダファイナンシャルサービスのアカウント番号も盗まれたとのことだ。幸いなことに、誕生日やクレジットカード、銀行口座、社会保障番号などの機密情報は流出していないというが、ソフォスはカナダのユーザーに向けて、ホンダやホンダファイナンシャルサービスを名乗る者からの連絡や詐欺に注意すべきと警告している。

　カナダの大手新聞「Toronto Star」は、ホンダの顧客が集団訴訟を起こしたことを報じている。個人情報と機密情報の保護を怠り、顧客に正当な期間内に通知しなかったとして、2億ドルの損害賠償を求めている。

　流出したデータは、2009年に実施したキャンペーンのあと、適切に削除されずにそのまま残されていたものだ。ソフォスは、顧客データのセキュリティ対策として暗号化を勧めている。わずかな手間をかけて暗号化することで、データの漏洩を防止し、さらに訴訟から企業を守ることにもなるとした。

グリーンエネルギー推進サイトにブラックハットSEO攻撃

　比較的珍しい話題として、ブラックハットSEO（SEOは検索エンジン最適化）に関するブログもあった。ブラックハットSEOは、Webページ内にSEO目的のキーワードを大量に埋め込んだり、ユーザーがアクセスしてきた際にWebクローラーが巡回したWebページとは異なるWebページを表示させる仕組みを埋め込んだりする攻撃である。

　米ウェブセンスのセキュリティ・ラボは、国際連合環境計画（UNEP）の関連サイトに仕掛けられたブラックハットSEO攻撃を検出し、ブログで報告した。

　攻撃を受けたのは、UNEPの「持続可能なエネルギー金融イニシアティブ」（SEFI）のサイトで、多数の医薬品スパム関連のURLリンクが仕込まれていた。しかしそのURLはほとんどが乗っ取られたサイトだった。

　SEFIサイトは一見したところ何の問題もなく、侵害された様子はない。しかしソースコードをよく調べると、ブラックハットSEO攻撃の一連のコードがHTMLコードの最後に付加され、さらにそのコンテンツは表示されないようになっている。

SEFIサイトの画面とソースコードの画像

　コードをたどっていくと、「viagra（バイアグラ）」や「levitra（レビトラ）」といった薬品名が挿入されていることが分かる。これらが、検索結果での表示順位を上げるキーワードになっている。

　Googleなど主要検索エンジンのほとんどは、こうした手口があることを知っており、ブラックハットSEOを遮断する対策をとっているが、いつでもうまく機能するわけではない。しかし、主要検索エンジンでの遮断率は、ほかの検索エンジンよりは高いという。なお、SEFIサイトは現在、ブラックハットSEO攻撃の脅威が取り除かれ、安心して閲覧できる状態になっている。

Mac用ウイルス対策ソフトを考察する

　最後に、Mac OS Xのセキュリティ対策に関する話題を一つ。セキュリティ製品などの検証を実施する「ICSA Labs」を独立部門として持つ米ベライゾンビジネスが、Mac OS X向けウイルス対策ソフトの有効性を認めた。

　ベライゾンビジネスは従来、Mac OS Xではウイルス対策ソフトを使わないほうがよいという考えを貫いてきた。同社が実施した調査によると、ウイルス対策ソフトを実装したことによってデータを喪失したユーザーは、マルウエアによってデータを喪失したユーザーよりも多いという。同社はMac OS Xのベータ版がこの世に登場した10年以上前からMac OS Xのセキュリティを追跡してきたが、これまでずっとウイルス対策ソフトを使うことは勧めていなかった。

　ただここにきて、多少考え方に変化があったことをブログで述べている。Mac OS Xを狙ったマルウエアがWindow向けマルウエアと同様になりつつある今、そしてICSA Labsで、ようやくMac OS X向けウイルス対策ソフトの認定に合格した製品が出たことを踏まえると、状況によってはアンチウイルスソフトの使用をユーザーに勧めてもよいと考えているという。

　例えば「MAC Defender」のようなソーシャルエンジニアリングを使うマルウエアにだまされやすい人には向いている。MAC Defenderは自身をウイルス対策ソフトだと偽り、パソコンにインストールするよう促すが、いったんマシンに入り込むとユーザーのクレジットカード情報を盗み出そうとする。

　同社が考えを変えたことで、ユーザーには二つの疑問が湧くかもしれない。Mac OS Xを狙ったマルウエアはWindows向けマルウエアのように大きな脅威なのか。Macにウイルス対策ソフトをインストールすると、全く心配なくインターネットを利用できるのか。いずれも答えは「No」だ。

　同社はウイルス対策ソフトのインストールよりも、日頃から安全なインターネット利用を心がけることが重要だと強調する。同社が勧めている主な対策は次の通りである。

・「Safari」ブラウザーの環境設定で、「ダウンロード後、“安全な”ファイルを開く」のチェックを外すこと
・ポップアップ遮断やフィッシング防止など、ブラウザーのセキュリティ機能を使うこと
・1週間ごとにソフトウエアアップデートをチェックし、セキュリティアップデートがリリースされたらすぐにインストールすること
・セキュリティのシステム環境設定で、ファイアウォールを有効にしておくこと
・ソースが不明なソフトウエアを、ダウンロード、実行、共有しないこと
・不意に送られてきた電子メールやインスタントメッセージの添付ファイルを開いたり共有したりしないこと
・信頼できる無線ネットワークにのみ接続すること
・社内環境では、適切なスパム防止対策を導入すること

　また米アップルはセキュリティガイドを「Mac OS X Security Configuration Guides」で提供しているので参考にするとよいだろう。