電子楽器のテルミンを独自にデザインした「マトリョミン」の製造販売会社、マンダリンエレクトロンは2010年11月、通販サイト「Mandarin Electron Webショップ」のシステムにおいて不正アクセスを受け、データベースを破壊された。顧客の個人情報などが流出した可能性がある。同社も前回登場したEGGSと同様に小規模な会社であり、システム管理を代表取締役の竹内正実氏(写真1)が担当する。
攻撃に遭ったWebサイトの概要は、次の通りだ。ファイアウォールに加えてIPS(侵入防止システム)を設置するなど、高セキュリティをうたう事業者のホスティングサービスを利用し、ショッピングカート(Zen Cart)などのソフトウエアを稼働させている。
システム開発はITベンダーに依頼したが、コストを抑えるため運用は自社で行う。竹内氏をはじめITに詳しい社員はいないが、ホスティングサービスのセキュリティレベルが高いのだから、セキュリティ面で問題が生じるはことはないと楽観視していた。多忙を極める竹内氏はZen Cartにセキュリティパッチを当てることを怠ったまま通販サイトのシステムを稼働させていた。
このサイトが攻撃に遭って、どのような事態に陥ったのか。竹内氏の視点から紹介する。
―2010年11月上旬
午前中にPC端末から通販サイトのサーバーにアクセスしたところ、「xxxのDBが壊れている、xxxのファイルが見つからない」というエラーメッセージが表示される。すぐさま、システムを構築したベンダーに調査を依頼する(図1)。
その日の午後、ベンダーから「何かしらの攻撃を受けたらしい。データベースが破壊されている。情報流出の可能性もある」との報告を受ける。データベースには、顧客データ、受注データ、電子掲示板に書き込まれた顧客のコメントなどが入っている。そうしたデータを修復できるかどうか尋ねたところ、「調査した結果、修復できない」との返答を受ける。
気が動転し、冷静に物事を考えられなくなった。そのとき行ったのは、通販サイトを一時閉鎖し、「メンテナンスのため、サービス提供を一時中断しています」というWebページを表示させることだけ。個人情報が漏洩した恐れがあったのに、その範囲や影響について調べて本人に通知・謝罪することに気が回らなかった。
―2010年11月中旬
まだ気持ちが落ち着かなかったが、どうしたらよいかを考える。バックアップデータを探し、3カ月前のものを見つける。それより新しいデータは不完全で、リストアできないことが分かる。3カ月前の状態に戻しても、受注履歴が無いから顧客サポートを満足に行えないし、電子掲示板に書き込んでくれた顧客に申し訳が立たない。事業存続の危機を強く感じる。攻撃の手口や対策について説明できるまで、通販サイトを再開しないことを決断する。
―2010年11月下旬~12月
普段から付き合いのある商工会議所のメンバーから助言を受け、攻撃に遭ったことを情報処理推進機構(IPA)に連絡するとともに、セキュリティに詳しい大学の先生に調査を依頼する。後日受け取った調査結果は次のようなものだった。
調査結果の概要
(1)Zen Cartのアップデートが長い期間にわたり実施されておらず、既知の脆弱性を突かれてSQLインジェクションなどの攻撃を受けたと見られる。
(2)流出の可能性があるデータは、顧客のIDとパスワード、住所、氏名、メールアドレス、注文履歴、電子掲示板のメッセージなど。IDとパスワードは暗号化してあり、安全と見られる。
(3)クレジットカード情報は、PayPalなどの決済事業者しか持っていないので、通販サイトからの漏洩はない。
―2010年12月末
不正アクセスを受けて通販サイトから個人情報が流出した可能性があることを発表する。さらに、メールソフトに残っていた顧客のアドレス宛てにお詫びメールを送った。一部の顧客から、クレジットカードが不正利用されたらどうするとの叱責を受けた。クレジットカード情報は当社のサーバーに保持しないので、その情報が漏洩した可能性はない。このことを説明したが信じてもらえず、信頼が完全に失われたことを実感する。
―2011年3月中旬
通販サイトの運営を約4カ月ぶりに再開した。このとき今回の反省を基に、自社でシステム運用をしなくていいように設計を見直した。ホスティングサービスはOSやミドルウエアのメンテナンスが必要のないものに切り替え、会社紹介など更新頻度の低いコンテンツだけを載せる。イベントやコンサート情報など更新頻度の高いコンテンツはFacebookで配信することにした。さらに、オンラインショップや電子掲示板の機能は、ASPのサービスを利用することにした。
