2009.10 無料公開記事      ▲TOP PAGE


ECサイトに相次ぐ個人情報の漏洩
――なぜ防げない?「不正アクセス」


通販サイトの顧客個人情報の漏えい事件が相次いでいる。09年8月には大手芸能事務所のアミューズが運営する通販サイトが、9月には三菱商事の通販子会社で、大手スーパーのイオンのグループ入りが決まっているデジタルダイレクト(DD)の通販サイトでもクレジットカード情報を含む個人情報が流出。DDの場合、漏えいしたカード情報を第三者が不正使用するなどの実質的な被害も出ている。知名度の高い企業の通販サイトから相次いで、個人情報の漏えいが発覚したことで、両社だけの問題でなく、「ネット販売で買うのは怖い」という悪いイメージを消費者に与え、結果として市場拡大に悪影響を及ぼすことが懸念される。
この両社の個人情報の漏えいに共通するのは「SQLインジェクション」と呼ばれるアプリケーションの欠陥を利用して、データベースを不正に操作する攻撃方法。ただ、同手法は別に目新しい最新の攻撃方法ではなく、9ページの別表の通り、過去の通販サイトの個人情報漏えい事件においても使われてきた方法。その都度、ECサイトには注意喚起がなされてきた言わば、使い古されたものだ。
一旦、個人情報の漏えいが明るみとなれば、サイトの休止はむろんのこと、事後の顧客への侘びとして金権等の送付で発生するコストは膨大。しかも、顧客からの信頼はそう簡単には回復しない。販売機会のロスなどを含めた「個人情報の漏えい」後のコスト負担は場合によっては億単位にのぼることも珍しくはない。ならば、「事前にセキュリティを強化しておけばよい」わけだが、なぜ、「SQLインジェクション」での被害を未然に防げず、通販サイトは個人情報の漏えいを許してしまうのだろうか。それには高額な対策費用と「うちだけは大丈夫」という過信がある。

海外からの不正アクセス
まずは両社の個人情報漏えいの概要を確認しておく。8月10日、大手芸能事務所のアミューズが運営する所属ミュージシャンの関連グッズなどを販売する通販サイト「アスマート」が中国から「SQLインジェクション」による不正アクセスを受けて、クレジットカード情報約3万4000件と、メールアドレス約11万7000件が流失したと発表。同社が通販サイトの運営を委託していたテイパーズのサーバーから05年4月4日から09年7月20日までの間に「アスマート」で買い物をした顧客14万8680人の顧客の情報が流失した可能性があるとした。
三菱商事の通販子会社、デジタルダイレクトは9月4日、運営する通販サイト「saQwa(サクワ)ネットショッピング」と「fun style shopping(ファンスタイルショッピング)」でクレジットカード番号を含む顧客の個人情報が外部に流出したと発表した。同社によれば海外からの不正アクセスによりクレジットカード情報やメールアドレス情報が流出。攻撃手法は明らかにしていないが、やまり「SQLインジェクション」と見られる。現時点で流出が確認されているのは有効期限切れを含むクレジットカード情報が約5万2000件、メールアドレス情報は約2万9000件。
個人情報が流出した可能性がある顧客にはメールと書面でその旨を連絡。また、特設専用回線を設けた。現状、電話での受注を受けているが、通販サイトは閉鎖中。閉鎖に時期については、システムおよびマネジメント体制の強化が終了するまで、臨時休止を継続するとしており、「復旧の時期は未定」(同)としている。

大変なのはこれから
個人情報流出という事態は企業を大きく疲弊させる。まず、事後処理。セキュリティ対策のコストは無論のこと、顧客への保障などの対応だ。アミューズのケースでは漏洩した可能性がある顧客に対して金券の送付を決定。個人情報が流出した可能性がある顧客を14万8680人を対象に500円のQUOカードを9月初旬より送付した。単純計算で7000万円近い出費となる。DDでは「まずは調査や対策が優先であり、現時点では未定」(同)としており、詳細は不明。だが、現時点ではカードの不正利用が出ていないアミューズが金権を付与したことを考えると、カード情報を使った「被害」が出ているDDも何らかの保障を行なう可能性が高い。
そして販売機会のロス。通販サイトの休止により、本来、獲得できたはずのネット受注を逃すことはもちろん、DDの場合では、メーン販路の通販番組や通販カタログの受注端末として、また、多くの会員を持つ他社と提携して新規を獲得するための販促物(チラシやメルマガなど)の顧客の刈り取り先として「通販サイト」が重要な役目を担っている。つまり、サイト休止による販売機会のロスは相当な金額に及ぶことが予想される。
何よりも大きいのは顧客離れだ。当然ながら、事後にいかにセキュリティを強化したり、金権を送っても数ある通販サイトの中から、あえて個人情報が漏えいした通販サイトでモノを買おうと思う消費者は少ないだろう。当面、当該企業の業績面で大きな影響を受けることは必死だ。

なぜセキュリティ対策をしないのか
個人情報の漏えいは通販サイトの業績を大きく圧迫するわけだが、それではなぜ、個人情報の流出がとまらないのか。それは企業側が十分なセキュリティ対策をしていないことがまずある。無論、全然、実施していないというわけではないだろうが、「SQLインジェクション」による被害が減らないだけに十分であるとは言い難い。ただし、同手法は新しい攻撃手法ではない。また、その怖さも通販サイトの運営事業者も知らないわけではあるまい。その理由は1つは手口が巧妙化していることがあげられる。ある対策を採っていても、その裏を欠く攻撃パターンにより、やはり被害にあってしまうというもの。そして最大の要因は「高額な対策費用」から、十分なセキュリティ対策に踏み切る企業が少ないということだろう。
SQLインジェクション対策を行う上で、最も効果があるのは不正侵入防御システム(IPS)の導入だが、ファイヤーウォールとのセットでは、機器の費用だけでも130万円からが相場。保守費用や設計・設置費用、24時間の不正アクセス監視などを考えると、大規模なサイトの場合は数千万円規模の投資が必要だ。通販サイトには集客策などいくらでもお金をかけなければならないものが存在する。これらを考えると、「まだ被害が出ていない段階」では「うちは大丈夫だろう」と考え事前に対策する、またはやろうと思う企業は限られてくるわけだ。
繰り返しになるが、一度、顧客の個人情報が漏えいすれば、顧客離れなど当該企業の損害は甚大となる。場合によってはそのままサイト閉鎖に追いやられた通販企業もこれまでにあった。リスク回避という面からも、セキュリティ対策の優先順位は高いはずだ。最低限、数十万円から実施できるデータベースの前にファイヤーウォールを置き、データベースから外部への接続を制限・監視するなどの施策から始めてでみてはどうだろうか。今回の2社の被害は通販サイト運営事業者にとっては「対岸の火事」では済まされないだろう。【編集部・鹿野利幸】
▲TOP PAGE ▲UP