誰もがサイバー攻撃の標的となり得る現在、セキュリティ対策の定期的な見直しが重要だ。その際、古くなった知識をアップデートしたり、社内の迷信を打破したりする必要がある。勘違いしたままでは、効果的な対策を打てないからだ。
「最初は新手の詐欺かと思ったくらい、信じられなかった」──。サイバー攻撃を受けたハックルベリー・アンド・サンズの椙浦(すぎうら)直樹氏(代表取締役)は、クレジットカード情報漏えいの疑いで調査費用を提示されたときの心境をこう語る。
同社は2015年6月24日、「イタリア自動車雑貨店WEBサイト」のWebシステムが不正アクセスを受け、顧客のクレジットカード情報が流出した疑いがあると公表した(図1)。いまや、サイバー攻撃はどの企業でも受ける可能性があり、知らぬ間に情報が漏えいしているケースも多い。
では、サイバー攻撃を受け情報漏えいが発生すると、一体、どのような対応が必要となるのだろうか。ここではクレジットカード情報漏えいの対応について、椙浦氏が体験したことをつまびらかにする。
高額な調査費用に驚く
同社でクレジットカード情報漏えいの疑いが生じたのは、公表の2カ月前の4月下旬だった(図2)。きっかけはカード決済代行会社からの電話。その翌日に訪問を受け、情報漏えいの疑いがあることが告げられた。
カード決済代行会社の担当者は、すぐにWebシステムを停止し、専門機関へ調査を要請することを椙浦氏に求めた。同社の事業は通信販売だけなので、システムを止めると売り上げがなくなることになる。そうした中で、調査にどのくらいの費用がかかるのか不安を覚えつつ、椙浦氏はWebサイトを利用停止状態にした。
クレジットカード情報が漏えいした場合、カード会社が認定した専門機関による調査が必要となる。カード決済代行会社が提示したのは3社だった。このうち2社は海外企業だったので、椙浦氏は円滑なやり取りを考えて国内の1社を選んだ。
専門機関が提示した調査費用の見積もりは250万円。椙浦氏は、他の国内の専門機関を探してみたが見つからず、見積もりを比較できないことに困惑した。こうして冒頭の、「何かの詐欺ではないか」という気持ちが湧き上がった。
椙浦氏は高額な費用にとまどいつつも、調査を依頼した。調査では疑いのあるWebシステムに対し、リモートからアクセスして侵入の痕跡を探った。調査期間は1カ月ほどだった。