ECサイトのインシデント事例、情報共有と対策はどうあるべきか
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」11月8日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・インシデントの共有や公表の在り方
・対策にはシステムを一から構築しなおす事が最善なのか
ニュース解説
オンラインショップに不正アクセスがあり、クレジットカード情報が漏洩してしまったということです。ECサイトのインシデント対応で気を付けるべきポイントについて説明します。
今回のインシデントは、ECサイトを保守管理する会社から、顧客のクレジットカード情報の漏えい懸念について連絡があり、2021年3月5日から約3か月の期間にECサイトでクレジットカード決済を行った顧客129名のクレジットカードやID・パスワードを含む個人情報が流出した可能性があるこということです。
インシデントの原因として、ECサイトの脆弱性を突いた第三者の不正アクセスにより、カード決済を行うペイメントアプリケーションの改ざんが挙げられています。対策として、カード会社と連携して流出した可能性のあるカードによる取引のモニタリングを継続して実施し、監督官庁である個人情報保護委員会への報告と所轄警察署である千葉西警察署への被害申告を行っています。また、再発防止策として、調査結果を踏まえて現行システムの破棄とサーバを含めたシステムの移行と監視体制の強化を行うということです。
インシデントの共有や公表の在り方
インシデントが公表される場合もありますが、速やかに情報が共有されることは少数かもしれません。理由は、インシデントの公表後に想定される社会的な批判が、情報共有を遅らせる悪循環を生んでいることが考えられます。
インシデントの共有や公表の在り方について、2020年1月27日に総務省サイバーセキュリティタスクフォースから公表された「我が国のサイバーセキュリティ強化に向けた緊急提言案」と、2020年6月12日に経済産業省から公表された「昨今の産業を巡るサイバーセキュリティに係る状況の認識と今後の取組の方向性について」では、インシデントの共有については、いずれも「被害拡大防止のため、速やかに情報共有が行われるべき」としています。
また、インシデントの公表について、総務省は「影響を受ける主体との関係も踏まえつつ、個人情報等の流出が疑われる時点で速やかに検討する」としており、経済産業省は「影響範囲が広く限られた関係者間での情報共有では被害拡大防止にならない場合、速やかに公表する」としています。
一方で、多くの場合は被害範囲が確定し、漏えい情報の詳細が判明してから一般への公表が行われています。今回のインシデントでも、公表が遅れた経緯については「不確定な情報の公開はいたずらに混乱を招くおそれがあるため、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断」としています。また、メディア等でネガティブに取り上げられることがあるため、公表に対して躊躇してしまう経営者も多いのではないでしょうか。
以上をまとめると、公表を遅らせてしまう社会的な背景はありながらも、被害者保護を最優先に考え、そのために必要な情報の共有と公表は速やかにするべきと解釈できます。インシデントの公表に迷いが生じたら「それで被害者を守られているか」と自問自答してみるといいかもしれません。
その他のトピック
インシデントの原因が明確にならない場合の対策
インシデントの原因が明確にならない場合は、システムの破棄を検討することが必要です。もし、システムを完全に移行する場合は、過去の脆弱性を引き継がないようにすることが必要です。(全文はこちら)