【続報】資生堂イプサ
新たな情報流出の可能性と不正アクセス対策を発表

【続報】資生堂イプサ 新たな情報流出の可能性と不正アクセス対策を発表


資生堂子会社、新たに約1万人のカード情報流出か

資生堂は31日、化粧品子会社「イプサ」の通販サイトが不正アクセスを受けて個人情報が流出した問題で、新たに9699人のクレジットカードの情報が流出した可能性があると発表した。顧客から不正利用されたとの被害の連絡は入っていないという。

(2017年1月31日 朝日新聞 電子版)より抜粋


意識のすれ違いが引き起こした
不正アクセス

発表当時、同サイトのWebサーバにSSI(HTMLファイルに埋め込めるプログラム)の脆弱性があり、それを悪用しバックドアを仕掛けられたこと、結果としてサイトに登録されていたクレジットカード情報56,121件を含む顧客の個人情報421,313件が流出した可能性があるとしていた。

関連記事はこちら>> 「資生堂情報流出 カード情報が不正使用された可能性も!その初動対応とは!?」

その後、決済代行会社との連携による調査の結果、クレジットカード情報流出の可能性がないとは断定できない9,699名、個人情報流出の疑いのある150名の存在が判明、それぞれ個別に連絡したという。

情報セキュリティ専門企業の参画により実施した同社の報告書によると、以下の技術的な問題が露呈した。

技術的な問題点

(1)
  • SSIに起因する脆弱性の認識が甘く、十分な対策が取られていなかった
(2)
  • 同サイトのセキュリティ対策がファイアウォールのみであった
    (他のセキュリティ対策も導入済みと誤認)
(3)
  • 本来はサイト内にクレジットカード情報を保持しない設定であったのに、デパックモードのまま運用されており、決済処理のログが残る状態になっていた

(※引用元:IPSA発表「個人情報不正アクセスに関する調査報告書」

今回の問題点の解決策として、IPA(独立行政法人 情報処理推進機構)が推奨するセキュリティ対策から以下をまとめた。

不正アクセス対策

(1)
  • SSIに起因する脆弱性
  • ▶ SSIを用いる必要がないならサーバからその機能を取り除く
  • ▶ SSIを用いる場合は厳密なチェックを行ったプログラムによる利用に限定
(2)
  • セキュリティ対策
  • ▶ サーバの用途に不必要な機能を外部に提供しない
  • ▶ セキュリティに関する適切な設定を行い、つねにアップデートする
  • ▶ 外部に公開する情報の制限
(3)
  • 本来はサイト内にクレジットカード情報を保持しない設定であったのに、デパックモードのまま運用されており、決済処理のログが残る状態になっていた
  • ▶ 導入時の作業、リモートからの更新修正作業などのためにセキュリティに穴を開けた状態を作るならば、どんなに短期間であっても、攻撃者にその綻びを気付かれて攻撃を受けることを想定しなければならない

(引用元:不正アクセスサーバ別詳細対策集 – IPA

管理体制の問題も発見された。同社内のサイト管理に関する責任部門が不明確であり、また委託先であるソフトウェア開発会社に対する管理監督や意思疎通が十分ではなく、技術情報の継承や正しい状況把握ができていなかった。そして、サイトの構築時は開発計画のみ共有しており、システムの詳細については確認されていなかった。システム稼働後の監査においても、毎年実施していたものの口頭や紙面による報告ベースで、詳細な内容確認はできていなかったという。

そのため、上記③の問題が生じた。本来はサイト内にクレジットカード情報を保持しない設定だったが、サイト立ち上げ時に利用していたデバックモードのまま運用し、決済処理のログが残ってしまった。
ウェブサイトの開発事業者とはすでに取引が終了しており、その後の保守運用を担当した事業者にも情報が引き継がれておらず、デバックモードのままだった。

もし自社のサイト上で訪問者の会員登録やクレジットカード決済を行っている場合や、サイトを立ち上げてから時間が経って管理者が交代している場合には、すぐにでもSSIの利用とデバックモードの確認をお勧めする。

ウェブサイトの脆弱性チェック

▶ サイト作成者や管理者に確認依頼
▶ Webアプリケーション脆弱性診断などのサービスを利用