自社ECから情報漏洩させて学んだ、たった一つの「やるべきだった」こと

まず初めに、この度、関係各所には多大なるご迷惑をおかけしたことを、改めて心からお詫び申し上げます。すべての責任は代表である私、北村圭介にあり、再発防止に向け、一層気を引き締めて業務にあたっていることをお約束します。

弊社が運営する「キタムラジャパンオンラインストア」への不正アクセスによる 個人情報流出に関するお詫びとお知らせ

さて、この記事にたどり着いた方は、ひょっとして、まさにたった今、自社が情報漏洩をしてしまい、慌てて検索しているところかもしれない。その気持ち、痛いほどよく分かる。なので、まずは気持ちを落ち着けて、行動してほしい。そして、このnoteが少しでもお役立てればと思う。

一方、そうではなく、たまたまたどり着いた方には、超急いでやってほしいのは、サイバー保険に加入すること。今は取り扱う保険会社も増えているので、自社に合うところと一日も早く契約を結ぶべきだ。当たり前だが、事件発覚後、問い合わせたら、見事に断られた。。。無念でしかない。

サイバー保険 特設サイト | 日本損害保険協会

すでに公表している上、隠したところでそれほど得はないし、何より、この問題は、誰にでも起こりうること。これを読まれた方が、「ウチの対策はどうなんだ？」という行動のきっかけになれたらと思い、自戒も込めて書くことにする。あのとき、会社を畳まざるを得ない状況も想定した。同じ苦しみは、他の誰にも味わってほしくないから、一年が経ったところで、書き記しておきたい。

実態がわからない

大手の事例はニュースになって耳にする機会が多くなっているが、それ以外でも被害があるはずでも、とにかく情報漏洩に関する子細な情報が少ない。本当に知りたいことが分からないから、不安は益々募るばかり。とにかく焦る。

代行会社から渡されるマニュアルが頼りだが、言わずもがな無味無臭。何か助けてくれると思いきや、そんなことはまったくない。クレジットカード会社との連絡係にすぎないから、あらぬ期待はしない方がいい。

警察へ被害申請（「被害届」ではなく）をし、愛知県警のサイバーセキュリティの方々と話をしたが、実害、というか、実際に物理的な動き（お金のやり取り）がないため、犯人逮捕は、ほぼ不可能に近い、まさに現代の犯罪という感じだ。

警察によれば同様の被害が、この１年（2019～20年ごろ）、愛知県内で３～４件発生しているという話だった（これが多いのか少ないのかはご想像にお任せする）。犯人が同じかは不明だが、調査の結果、IPアドレスはアメリカ西海岸であった。国際犯罪としてアメリカの警察へ捜査協力の依頼しているとのこと。ただ、おそらく発見は難しいだろう。

ちなみに、被害「届」でないのは、「届」で出すと、警察は犯人逮捕のために調書を取らねば？ならず、今回のように、悔しいかな、明らかにほぼそれが見込めない状況だと、お互い時間をセーブするために、被害の状況を申請（報告）に留めるのが得策とのこと。

サイバーセキュリティに対する教訓を5項目

教訓１．人任せにしない

責任の所在が不明瞭だったことは否めない。数名が横並びに運営をしていると、情報を共有してはいるが、かえってそれが仇になり、ことの重要性に気付くのが遅れた。つまり、「みんな見ている＝私以外の誰かもみている＝誰かが対応する」という大衆心理が作用してしまっていた。本来、このようなことがあってはならないことは重々承知しているが、現実、そうだったことに反省している。

教訓２．責任の範囲を明文化

誰がどこまでやるのか。仮に、ECサイトの制作を外部に委託していたのなら、先方と保守範囲も明確にしておく。さもなくば、ただでさえ情緒が崩れた状態だから、自分を棚に上げてしまう思考となり、下手をすると、大切なビジネスパートナーを失うことになる。親しき中にも明文化は重要だ。

教訓３．自社運営の落とし穴

Appleのように徹底してやるならいいだろうが、おそらくその必要はない。

アップル、自社製品のセキュリティ詳細を約200頁の文書で公開

情報漏洩の不安をなくしたいなら、躊躇うことなく、手数料を払って、楽天、Amazon、ヤフーのモール型へ出店しよう。それぞれ何らかの制限はあるにせよ、安心を買うための費用として決して高くない。※BakeやShopify、Storesなどは、そのあたりサポートが入っているようだ。

今回、EC-CUBE2.0の脆弱性を衝かれた。

株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について（注意喚起） （METI/経済産業省）

アップデートの必要性の認識はあったが、すでに多大な費用をかけて構築しているため、ペンディングをしてしまっていたことは認めざるを得ない。「まさか自社が被害に遭うことはないだろう。」と思っていたことも深く反省する。

教訓４．もしもの保険

前述したが、とにかく保険に入っておくべき。サイバー保険もいろいろ種類が増えてきている。知る限り、大きく分けて2種類。

A．契約日からの保証　　約3万円/年
B．契約日を遡って保証　約30万円/年

調査の結果、今回は19年10月の時点でバックドア設置が、すべての原因と考えられるため、たとえば、Aの条件で、12月に加入しても保証は受けられない。加入前にペンテスト（後述する）を行っていればわかるが、ただ、それにもコストは20万円ほどかかるら。なかなか事前にそれをやれる会社はないのではないか。（ペンテストも数種あり）

『半沢直樹』「バックドア仕込む」シーンにIT業界から総ツッコミ…「絶対にあり得ない」

教訓５．弁護士と話そう

加害者ではあるが、被害者でもある。償うべきはあるにせよ、すべてを抱える必要はない。確かにかなりのコストはかかる。月額だと、おおむね、相場は月5～8万といったところで、案件ごとの契約だと、着手＋報酬で60～100万＋αくらいのイメージでいい。

現在、弁護士4万人中、約60％が30～40代の若い弁護士だそうだ。相性が合う合わないはあるので、ぜひいろいろ探して問い合わせたり、知人などに紹介してもらったりしてみたい。よさそうな弁護士に出会ったら、月額で顧問契約しておことをお勧めする。日々起こる些細なこと、様々な契約や未払いの回収、はたまた、社員の身に起こることまで気軽に相談に乗ってくれるから福利厚生としても十分活用の余地がある。ただ、例えば、自社の残業未払いの相談は勘弁してねってことで、それは当然！

被害後、まずは知ることから

感情は置いておいて、何がどうなったか、まずは知る。緊急初動対応ののち、「フォレンジック調査」という聞きなれないものがある。フォトジェニックなら知ってたが、テンパっていたこともあって、間違えずに言えるまで２～３日を要した。

【比較】フォレンジックとは？費用や相場・おすすめ業者を徹底解説（フォレンジック調査）

【フォレンジック】は本来「鑑識」と訳され、通常、犯人の足跡や指紋、血液、毛髪といった手掛かりを採取・検出・分析・照合し、捜査することだが、今はサイバーセキュリティの世界で用いられることが多い。つまり、サーバー情報を元に、外部から攻撃された形跡があるかどうか調べるのだ。

この調査には、悪用ができてしまうような高度な技術が必要になる（当たり前だが）ため、国際規格に加盟している企業によるものでなければならない。ホワイトハッカーといってもいいだろう。実際にハッキングして、確認するのだから、グーグルなんかでも脆弱性を発見したハッカーへ報酬を支払っている調査する。エンジニアの技術や経験によって大きく左右されるため、それによって調査結果の信ぴょう性は疑われる。

調査と同時に、ペネートレーションテスト（訳してペンテスト）が２つ行われた。これは、脆弱性を確認する「セキュリティ診断」とは違い、もう少し踏み込んで、実際に攻撃をし、それが成功するのかどうか、そして、その場合、どのくらいの被害が発生するかを検証するものた。ちなみに、これも何回読んでも読めなかった。アクワイアラ

GMOイプシロン社から２社を紹介された。相見積もりをとったら、５０万円ほど差があった。その違いは知る由もないが、スピード感を求めたため、A社に依頼をした。ちなみに、それだけの差がつくのだから、調査にかかる費用の合計金額は腰が抜ける。。。フル装備のコンパクトカー1台くらいをイメージするとよい。乗る予定はない。

警察は、フォレンジック調査の費用のことまでは知らなかったようで、「この調査書もらっていいですか？」というから、「いいですけど、簡単に言わないでください。これだけで数百万円するので。必ず今後の捜査の役に立ててください。」と言わずにはおけなかった。たいそう驚いていた。

犯罪者扱いも乗り越えて

もっとも腹立たしかったのは、クレジットカード会社に提出する資料をクレジットカード会社が、代行会社を通じて修正をいれてきたときだ。文中の貴社＝クレジットカード会社、弊社＝我々を向こうの指図で書き換えを依頼される。例えば、こんな調子だ。

「※請求書の内容につきまして、弊社が精査し、疑義が生じた場合には、貴社及び弊社による合意をした上で、弊社にて当該費用の負担をさせていただきたく存じます。」

「このように入れてはどうですか？」というようなのは甚だ遺憾に思う。また、楽天から【楽天】事実確認のお願い（法令・公序良俗に反する行為について）ってタイトルでメールがくる。完全に犯罪者扱い。。。

枕のキタムラ　楽天市場支店（/makura-kitamura）
店舗運営責任者様

平素はお世話になっております。
楽天株式会社　品質向上委員会　違反点数制度事務局 ●●でございます。この度、株式会社Kitamura Japan様のサイトにて下記お知らせがございました。
■検知元：寝具通販サイトに不正アクセス - 情報流出の可能性
■カード会社HP：「キタムラジャパンオンラインストア」におけるお客様情報流出について
■企業HP：弊社が運営する「キタムラジャパンオンラインストア」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

つきましては、貴社からの流出の有無や楽天市場店舗の顧客情報に漏洩はないのか等、事実関係と運営状況をご確認させて頂きたく、添付の回答書に記載の上、至急FAXにてご提出をお願いいたします。
【対応期限　2020/08/●（金）14:00】

※FAXは、下記の番号までお送りください。
楽天株式会社　品質向上委員会　違反点数制度事務局　050-3153-●●●●

＜注意事項＞
※本件書類は必ず上記FAX番号宛にお送りください。
※対応期限経過後もご対応依頼事項の対応完了が当方にて確認できない場合、楽天市場出店規約第２１条第１項の規定に基づき、出店停止（改装中表示）の措置を講じさせていただく場合がございますので予めご了承ください。
===========================================
Shopping is Entertainment!　安心・安全な楽天市場を目指して
┏━┓┏━┓┏━┓┏━┓
┃楽┃┃天┃┃市┃┃場┃　楽天株式会社
┗━┛┗━┛┗━┛┗━┛　品質向上委員会　違反点数制度事務局
============================================

言われっぱなしが悔しいから、ささやかなお返し。そっちも気を付けなさい。

クラウド型営業管理システムへの社外の第三者によるアクセスについて | 楽天株式会社

その他、HPにて公表後、お客様より早く連絡があったのは、さすがシステム管理会社とIPA セキュリティセンターだった。

まとめ

ここに書きれなかった内容で、

・時系列での応対は？（ほぼ日で記録）
・警察へはどのようにコンタクトを？
・制作会社とのやり取りは？
・弁護士はなんと？
・顧客への連絡は、どんな文章に？
・それは、メールか郵便か電話か？
・お客さんからどんな返答があった？
・お詫びは、どうしたか？
・問い合わせのQ＆Aは？

などなど、気になることや知りたいことがある場合、個別に連絡をもらえれば、できる限りの情報は提供したい。その他、リンクや資料はいろいろ集めたから、きっと何かの役には立つだろうと思う。

繰り返しになるが、自社が情報漏洩の原因となっても、決して焦らずに落ちついて行動をしてほしい。加害者が見つからないし、見つかったところでどうにもならないから、やはり自分の身は自分で守るしかない。

※内容に関しては、2020年夏～秋ごろがメインとなっている。

まくらのキタムラ
北村圭介