誰もがサイバー攻撃の標的となり得る現在、セキュリティ対策の定期的な見直しが重要だ。その際、古くなった知識をアップデートしたり、社内の迷信を打破したりする必要がある。勘違いしたままでは、効果的な対策を打てないからだ。

 「最初は新手の詐欺かと思ったくらい、信じられなかった」──。サイバー攻撃を受けたハックルベリー・アンド・サンズの椙浦(すぎうら)直樹氏(代表取締役)は、クレジットカード情報漏えいの疑いで調査費用を提示されたときの心境をこう語る。

 同社は2015年6月24日、「イタリア自動車雑貨店WEBサイト」のWebシステムが不正アクセスを受け、顧客のクレジットカード情報が流出した疑いがあると公表した(図1)。いまや、サイバー攻撃はどの企業でも受ける可能性があり、知らぬ間に情報が漏えいしているケースも多い。

図1●カード情報漏えいを公表する文書
図1●カード情報漏えいを公表する文書
「イタリア自動車雑貨店WEBサイト」を運営するハックルベリー・アンド・サンズは不正アクセスを受け、クレジットカード情報が漏えいした可能性があることを2015年6月24日に発表した
[画像のクリックで拡大表示]

 では、サイバー攻撃を受け情報漏えいが発生すると、一体、どのような対応が必要となるのだろうか。ここではクレジットカード情報漏えいの対応について、椙浦氏が体験したことをつまびらかにする。

高額な調査費用に驚く

 同社でクレジットカード情報漏えいの疑いが生じたのは、公表の2カ月前の4月下旬だった(図2)。きっかけはカード決済代行会社からの電話。その翌日に訪問を受け、情報漏えいの疑いがあることが告げられた。

図2●カード情報漏えい発覚後の一連の対応
図2●カード情報漏えい発覚後の一連の対応
カード会社が指定した専門機関による調査と公表文の調整にそれぞれ1カ月かかった。その間、他のショッピングサイトでネット通販を継続し、売り上げを確保した
[画像のクリックで拡大表示]

 カード決済代行会社の担当者は、すぐにWebシステムを停止し、専門機関へ調査を要請することを椙浦氏に求めた。同社の事業は通信販売だけなので、システムを止めると売り上げがなくなることになる。そうした中で、調査にどのくらいの費用がかかるのか不安を覚えつつ、椙浦氏はWebサイトを利用停止状態にした。

 クレジットカード情報が漏えいした場合、カード会社が認定した専門機関による調査が必要となる。カード決済代行会社が提示したのは3社だった。このうち2社は海外企業だったので、椙浦氏は円滑なやり取りを考えて国内の1社を選んだ。

 専門機関が提示した調査費用の見積もりは250万円。椙浦氏は、他の国内の専門機関を探してみたが見つからず、見積もりを比較できないことに困惑した。こうして冒頭の、「何かの詐欺ではないか」という気持ちが湧き上がった。

 椙浦氏は高額な費用にとまどいつつも、調査を依頼した。調査では疑いのあるWebシステムに対し、リモートからアクセスして侵入の痕跡を探った。調査期間は1カ月ほどだった。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。