資生堂子会社「イプサ」が運営していた化粧品通販サイトの不正アクセス問題で2017年1月31日、新たな動きがあった。およそ2カ月前に公表した最大42万1313件の個人情報と最大5万6121件のクレジットカード情報の漏えいに加え、9699件のクレジットカード情報と150件の個人情報も流出していた可能性があると明らかにしたのだ。

資生堂の本社(東京・港)
[画像のクリックで拡大表示]
資生堂の本社(東京・港)

 合わせて、資生堂とイプサは、不正アクセスの経緯や原因、対策をまとめた調査報告書を公表した。本来は通販サイト内に蓄積しないはずのカード情報をサーバーに残していたことなど、セキュリティ対策の基本部分がおろそかだったことなどが明らかにした。報告書から分かる、経緯や問題点をみていこう。

攻撃を受けたサイトのサーバーは3台

 今回攻撃を受けたイプサの通販サイト「イプサ公式オンラインショップ」は、2台のWebサーバーと1台のデータベース管理サーバーで運用していた。イプサがカード決済代行会社から指摘を受け、不正アクセスを最初に把握したのは2016年11月4日。システムやネットワークの様々な痕跡を集めて分析するデジタルフォレンジック調査を社外の専門調査機関に依頼した。

 調査機関が資生堂に提出した報告によると、特定のIPアドレスから不正アクセスが発生したのは2015年12月1日以降という。特に2016年8月27日と10月31日は、2台のWebサーバーそれぞれに同じIPアドレスから複数回の不正アクセスがあった。この際に攻撃者が、表示内容が動的に変わるWebページを生成する「SSI(Server Side Include)」の脆弱性を突き、不正アクセスに使うバックドア(裏口)プログラムを仕掛けたことも分かった。

 その時点でイプサのWebサーバーは、5万6121件のカード情報、データベース・サーバーには42万1313件の個人情報を保持していた。このため最大で全件を不正に取得された可能性があると資生堂は判断し12月2日、対象顧客に知らせるとともに緊急記者会見を通じて事実を公表した。その後の追加調査で9699件のカード情報と150件の個人情報が漏えいした可能性も判明し、今回の報告書に盛り込んだ。