ワコールは2月8日から,約3カ月にわたって閉鎖していたECサイトを再開する。ワコールオンラインショップで不正アクセスによる個人情報漏えい事件が発生したのは2005年11月。5124件の情報の中にはクレジットカード番号が含まれた情報もあり,カード番号を不正使用された顧客の問い合わせにより発覚した。
不正アクセスに使用されたのは,SQL文を外部から送り込む「SQLインジェクション」と呼ばれる手口だ。このSQLインジェクションは,2005年5月に発生したカカクコムやOZmallなどへの不正アクセス事件でも利用されたとされる。
特にカカクコムの事件は全国紙でも報道されるなど,大きな話題になった。にもかかわらず,ワコールの事件は発生した。教訓は生かされなかったのだろうか。
実はワコールの担当者は,システムを開発したNECネクサソリューションズに対し,2005年7月末に問い合わせを行っていたという。「うちのシステムは大丈夫か」と。
ベンダーに問い合わせるも,4カ月間,有効な手は打たれず
ワコールオンラインショップは2000年8月にカットオーバーした。システムはNECネクサソリューションズがDE4というパッケージ・ソフトを使用して開発したものだ。NECネクサソリューションズのホスティング・サービスを利用している。
「サーバーとネットワークはNECネクサソリューションズの資産またはリース物件で,システムはすべてNECネクサソリューションズが所有,作成,または選定したもの。当社はNECネクサソリューションズからソースコードの開示を受けていない。またアクセスログはネクサが保有し,管理している。ネクサは当社に対しアクセスログを提供していない」(ワコール)
ワコールによれば,7月末,NECネクサソリューションズの担当営業に対し,SQLインジェクション、クロスサイトスクリプティングなど9種のWebアプリケーション脆弱性に関する対策状況の調査を依頼したという。しかしNECネクサソリューションズからはなかなか回答が返ってこないため,ワコールから数回にわたり督促を行ったという。
9月21日,問い合わせから約2カ月後,NECネクサソリューションズからメールで回答があった。しかし,不明な点が多いため再提出を依頼したところ,9月27日にほとんど同じ内容のメールが送られてきた。口頭でも確認したところ「システムの一部にSQLインジェクションを含み問題がある可能性がある」という答えが返ってきた。NECネクサの説明によれば,問題がある可能性があるシステムは,商品カタログ,モデル着用写真などの画像を表示したりするページだったという。これらはメール・アドレス以外の個人情報を取得しないページだった。
不安に駆られたワコールでは正式な回答を依頼したが,それ以降正式な回答はなく,システムを見直したという連絡もなかったという。
そして11月18日,カード番号を不正使用された顧客の問い合わせにより不正アクセスが発覚した。実際に被害にあったのは,これらとは別の,9月末の回答では問題なしとされていたシステムだった。
ワコールでは,NECネクサの提案により,2004年1月に侵入検知ソフト「SOLVDEFENCE」を導入している。NECネクサソリューションズが開発したサーバー上で動作する侵入検知ソフトだ。
SOLVDEFENCEは2005年10月初めにバージョンアップし,SQLインジェクションに対応した。しかし「当社に対しバージョン情報に関するアナウンスはなく,バージョンアップに関する提案もなかった。ネクサからSOLVDEFENCEのSQLインジェクションに関する告知を受けたのは今回の事件発覚後だった」(ワコール)
同じくNECネクサが開発し,ホスティングしている,リトルアンデルセンのECサイト「キッズオンライン」でも,SQLインジェクションによる情報漏えいが発生している。ID(メール・アドレス)とパスワード6725件。不正アクセスは11月6日に行われ,11月29日にNECネクサソリューションズが発見した。
「SQLインジェクションは新しい脅威,瑕疵ではない」とベンダー
なぜ,ワコールからの督促があったにもかかわらず,SQLインジェクションを防止することができなかったのだろうか。
NECネクサではITproの取材に対し「個別案件については守秘義務があり話せない」(NECネクサソリューションズ 代表取締役 執行役員専務 多田昌弘氏)と回答した。ただ一般論として,と前置きし「Webアプリケーションの検査,修正は多くの人手,コストがかかる。事件以前は,こういった問題に対する認識が十分でなく,人とコストをかける体制になっていなかった」(NECネクサソリューションズ 代表取締役 執行役員専務 多田昌弘氏)とする。
「SQLインジェクションは仕様で規定されていない問題であり,瑕疵ではないと考えている」と,NECネクサソリューションズ 多田氏は言う。
「開発した2000年8月当時,SQLインジェクションは広く知られた脅威ではなかった。建物に例えるなら,建築当時はあまり知られていなかったサムターン回しという手口による侵入が頻発するようになったようなもの。日々新しいセキュリティ・ホールが発見されている。あらゆるケースをすべて網羅して穴をふさぐことはできない」(NECネクサソリューションズ 多田氏)。
筆者がかかわった範囲での事実を紹介しておくと,2000年の12月に発行された日経オープンシステム(4月から日経SYSTEMSとして新創刊)という雑誌で,Webアプリケーションのセキュリティに関する特集記事を執筆したことがある。この特集でSQL文を外部から入力される危険性について紹介している。取材の際,多くのセキュリティ専門家がこの問題を「基本的な問題」と指摘していた。
NECネクサソリューションズが主張するように,2000年8月当時,SQLインジェクションという手口がセキュリティ専門家以外にどれだけ知られていたかについては議論の余地があろう。ただし,SQLインジェクションは「'」などSQL文組み立てに使用される特殊文字を無効化することで防ぐことができる。データとして本来有効な文字種だけを受け付けるようにしていれば被害を防げたと考えられ,サムターン回しに例えることが適切なのかどうかも議論になろう。
ワコールはECサイト再開にあたり,システムに運用委託先をNECネクサソリューションズから親会社のNECに変更した。アプリケーションの入力データ・チェックの強化,侵入検知ソフトのバージョンアップなどを実施,セキュリティ専門企業ラックのセキュリティ診断を行った。今後も第3者による定期的なセキュリティ診断を行うとともに,情報セキュリティ専門部署を新設した。
ユーザーが知っておくべきこと
この事例から,被害の再発を防ぐために何を学ぶことができるだろうか。
ユーザーとして知っておくべきことは,Webアプリケーションのセキュリティ・ホールについて,ベンダーは「自社の責任ではないと主張することがある」ということだろう。ベンダー選定および時に,セキュリティ対策をどう取るのかについても提案を依頼し,選定の用件とするとともに契約にも織り込む必要がある。ベンダーが作成したアプリケーションに存在したセキュリティ・ホールを瑕疵とするかどうか,契約に際して詰めておくしかない。
ユーザーが考えるべきは,どのような個人情報を収集する必要があるか,どれだけのコストをかけれられるかだ。不必要な個人情報はリスクになるし,ビジネス上の価値はユーザーにしか判断できない。セキュリティ・パッチ適用のためにサービスの停止が許されるかどうかもユーザーとして考慮するべき点となる。
また,ベンダーによっては,開発が終了したシステムについて,なるべく手をかけないようにしようとする傾向があることも知っておく必要がある。「手離れ」という言葉がある。多くのベンダーは,納品後に手のかからない「手離れのよい」システムを望む。かつての社内システムであれば,稼動後にコストをできるだけかけないようにすることは合理的な行動だったのであろう。
しかし,システムがインターネット上で稼働している中で,状況にあわせてシステムを変化させていくことは,セキュリティ確保だけでなく,ビジネスの面でも必須だ。ハードウエアのように“売り切る”商習慣が制度疲労を起こしていると言える。ユーザーが必要としているものはモノではない。日々価値を生み出すプロセスである。変化への対応を織り込んだ,サービスとしての利用が最も適切な契約形態だろう。
ユーザーにとっては,サービスという目に見えないものを判断しなけれならなくなる。しかし,ユーザーが厳しく適切な選択を行うことこそが,市場で優れたベンダーを育成するために最も必要なものだ。
|
【訂正】 掲載当初,漏えいした「5412件の情報」と記述しておりましたが,正しくは「5124件」です。「2005年7月に発生したカカクコムやOZmallなどへの不正アクセス事件」と記述しておりましたが,正しくは「2005年5月に発生した」です。誤字もありました。お詫びして訂正いたします。 |
