サウンドハウス 代表取締役社長 中島尚彦氏
サウンドハウス 代表取締役社長 中島尚彦氏
[画像のクリックで拡大表示]
サウンドハウスが事件前と事件発覚後に実施したセキュリティ対策
サウンドハウスが事件前と事件発覚後に実施したセキュリティ対策
[画像のクリックで拡大表示]

 「セキュリティ・ツールを入れたことで油断してしまっていた」---サウンドハウス 代表取締役社長 中島尚彦氏は2008年7月4日,「WASForum Conference 2008」で,同社を襲った不正アクセスによる情報漏洩被害の経緯と教訓について語った。カカクコムの取締役COOの安田幹広氏も,不正アクセス被害と再発防止体制について講演した。

 WASForum Conferenceは,Webセキュリティに関する研究と啓蒙を目的とする非営利団体「Web Application Security Forum」が2004年から開催しているイベント。

「見逃しや消し忘れページ,どこかに穴が出てくる」サウンドハウス社長 中島氏

 サウンドハウスは楽器や音響などのインターネット通販を行っている。2008年4月3日,「不正アクセスにより最大9万75000件のクレジットカード番号などが流出した可能性がある」と公表した。

 「ファイアウオールや,(毎日サイトの脆弱性を検査するサービス)『ハッカーセーフ』,(カード決済の本人認証技術)『3Dセキュア』などを導入していた。しかしこういったツール入れることで油断してしまっていた」---中島氏は悔やむ。

 2008年2月に,中国のブログに「サウンドハウスのサイトに侵入した」という書き込みが行われた。「しかし,この時期ハッカーセーフの診断レポートはサイトに大きな問題はないというものだった。安心してしまっていた」(同)。「サイトをスキャンするといっても,古くなってサイトのどのページからもリンクされなくなったファイルは検査の対象外。こういった消し忘れていたページの脆弱性を突かれたのかもしれない。あるいはハッカーセーフが脆弱性のあるページを見逃したのかもしれない」(中島氏)。

 事件後,対策と原因究明を行ったセキュリティ対策会社のラックの報告によれば,今回の手口はサーバー上に置かれた不正プログラムであるaa.aspを介して外部からデータベースにアクセスされ,個人情報を抜き取るというものだったという。しかし,このaa.aspをサーバーに設置した形跡が見当たらなかった。このaa.aspを設置したと思われるバックドアは,以前から存在していた可能性が高いという。中国のブログに書き込まれた内容から推測すると,犯人は2006年6月にSQLインジェクションを使ってバックドアを作成した可能がある。しかし「原因が確定できない。あくまで想像しかできない」(中島氏)。