資生堂は2017年1月31日、子会社のイプサが運営する通販サイトで2016年11月に発覚した個人情報の漏洩について調査報告書を発表した。サイト内で使用していた「SSI」に脆弱性があったことに加え、通販サイトの運営システムに関連して同社が複数の事実誤認をしていたことが漏洩につながったとしている。

資生堂が公開した報告書
資生堂が公開した報告書
[画像のクリックで拡大表示]

 個人情報の漏洩が発覚したWebサイトは「イプサ公式オンラインショップ」。当初、クレジットカード情報は最大5万6121件、それ以外の個人情報は42万1313件が流出した可能性があるとしていた。その後の調査で、さらにクレジットカード情報は9699件、それ以外の個人情報は150件で新たに情報漏洩の可能性があることが判明している。

 最大の原因は、同サイトで使用していたSSIに脆弱性があったこと。SSIはHTML内にコードを書き込んで、簡単な命令を実行する仕組みのこと。何者かが不正にログインし、SSIの脆弱性を突いてバックドアプログラムを稼働させていた。「SSIの利用に関する脆弱性の認識が甘く、SSIの利用箇所を限りなく少なくするなどの対策を取っていなかった」(資生堂広報)。

 加えてイプサは、同サイトを巡り複数の事実誤認があったことを明かしている。具体的には、(1)実際には同サイトのセキュリティ対策はファイアウオールのみであったが、他のセキュリティ対策も導入済みだと思っていた、(2)本来サイト内にクレジットカード情報を残さない設定だったが、運用開始前のデバッグ時にカード情報を含むログ情報を残すよう設定して、デバッグモードを解除し忘れていた――という。

 今回の件を受け資生堂は、国内子会社がシステムを開発する際に本社のグローバルICT部が関与し、特にセキュリティ対策はグローバルICT部が主導して企画開発する。併せて、情報セキュリティマネジメントシステム(ISMS)などに則りグループ全体のセキュリティ態勢を強化するとしている。