Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ハワイアンズモール不正アクセス事件の最終報告

7月に不正アクセス被害を発表したハワイアンズモールを運営する常盤興産から最終報告が出ていましたので、その内容を少し見てみます。

今回の最終報告については、内容は他社に対して気づきを与えるような非常に参考になるものでした。原因部分と(今後の)対策部分が一番気になったのですが、原因については、

(2) 本件の原因
弊社によるシステムフォワード社に対するヒアリング調査により、以下の事実が本件の原因であることが判明しました。

①本件サービス開始時において、当時としては安定稼動していたOpenSSLの旧バージョンを使用したこと、そのため脆弱性問題が該当しないと誤信し、旧バージョンのまま放置したこと。

②その後ロードバランサーのOSのバージョンアップと同時にOpenSSLのバージョンアップを実施したが、その際、脆弱性の対策がなされた最新バージョンがあることを確認せず、脆弱性の含まれた旧バージョンのままであったこと。

③前記①、②に対応する手順を定めた規範がなく、セキュリティ情報を逐次更新する体制も存在しなかったこと。

ペネトレーションテスト脆弱性診断をした事実がなく、そうしたルールも存在しなかったこと。

こうした事実関係から、本件の原因は同社の過失によるものであるとともに、そうした過失を未然に防止し、点検・監督する体制もなく、継続的にセキュリティ情報を確認し安全性を高めるという体制が不十分であったことが、より本質的な原因であると考えています。

(「不正アクセスによる個人情報流出に関する最終ご報告」から引用)

事件の原因(脆弱性)は諸々推測していましたが、OpenSSLであったということは、非常に残念でした。2014年に発生した「Heartbleed」以降の事件ですので、厳しい言い方ですが、ECサイトを構築したシステムフォーワード社がOpenSSLを放置していたことについては「プロでは無かった」としか言えません。

 

しかしシステムフォーワード社を調べてみると、ECサイト構築パッケージを持っているシステム会社といっても、

www.sysforward.co.jp

社員数

10名 ( 男性 5名 女性 5名 )

という小さな会社ですので、運営委託先に一義的責任があるかも知れませんが、やはり常盤興産の監督責任も問われるべきです。そのことについても最終報告では触れていました。

 
 

3)弊社と運営委託先との関係
本件は、ハワイアンズモールで利用するクレジットカード情報の取扱いをシステムフォワード社に委託していた案件であり、システムの脆弱性を放置した同社に主要な原因があるものの、弊社において適切な委託先管理を実施してこなかったことが、その脆弱性放置という状況につながった点において、本件の一因を作り出していたことも明らかです。
弊社は、地元企業であるシステムフォワード社との相互信頼は揺るぎのないものと認識しており、同社が弊社のために最善を尽くしているものと過信しておりました

このような状況から、弊社はシステムフォワード社に対し特段の注意を払うことなく、セキュリティチェックを初めとするセキュリティ対策をおろそかにしていた事実がありました。(「不正アクセスによる個人情報流出に関する最終ご報告」から引用)

両社の業務分担について、あるいは責任分解点については特に記載がありませんが、推測するにかなり曖昧のままサイトは運営されていたのではないかと思います。

私が専門としておりますPCI DSSでは、要件12に外注管理についての記載があるのですが、常盤興産がこうしたクレジット業界の標準的な考え方に基づいて動いていれば、もしかすると事件は防げたかも知れません。

12.8.2サービスプロバイダは、プロバイダが、顧客に代わって所有、保存、処理、送信するカード会員データのセキュリティについて、または顧客のカード会員データのセキュリティに影響を与える範囲について責任を持つことを認める内容の書面による契約書を維持する

12.8.4少なくとも年に一度、サービスプロバイダのPCI DSS準拠ステータスを監視するプログラムを維持する。 

最終報告における再発防止策には、(臨時のPCI DSSオンサイト監査をクリアしないとクレジットカード決済を再開させてもらえませんので、当たり前といえば当たり前なのですが)委託先管理についての施策がかなり細かく書かれています。

i組織体制の確立
システムフォワード社における業務遂行体制、システム管理体制、セキュリティ管理などの体制整備を点検・監督します。特に、セキュリティ確保に関する規範、職務分担、作業担当者の明確化、作業手順が確立されているかを点検・監督します

ii人的対策
システムフォワード社において、受託業務遂行に関し、十分な知識と情報を確保し、適正な運用が図られるよう社内教育が実施されていることを点検・監督します。

iii技術的対策
システムフォワード社において、セキュリティ技術対策、ウイルス対策、パスワード対策、ファイアウォールの管理が、常に最新の情報に基づき、日々更新されていることを点検 ・監督します。

iv物理的対策(施設の安全管理)
システムフォワード社におけるシステム管理に関し、システム管理場所の安全性が確保されていること、入退室管理が実施されていること、機器端末の持ち出しなどが厳重に管理されていることを点検・監督します。

②セキュリティ報告の徴収
弊社は、システムフォワード社に対して毎月セキュリティ報告を求め、さらに必要に応じて追加での報告を求め、受託業務遂行のための監督を実施するものとします。

(「不正アクセスによる個人情報流出に関する最終ご報告」から引用)

実施する側も、それなりの知見が無いとこれらの運用も実効性が上がりませんが、さすがによく考えているなと思ったのが、委託先監督部門の担当を社内育成する意図としてだと思いますが、

③委託先監督責任者は、外部のセキュリティ専門事業者によるセキュリティ監査を受ける等、監査の実効性を確保するための指導を受け、これを実施するものとします

(「不正アクセスによる個人情報流出に関する最終ご報告」から引用)

という項目が入っていたことです。(自社における)セキュリティ監査を通じて知見を向上させるのは良い手だと思いますし、(担当が育つまでの間)外部のセキュリティ専門事業者の力を借りるのも実効性が高めるのは確実です。米国などでは他社のセキュリティ担当を引っこ抜く、、という手法もよく使われるようですが、特に日本ではPCI DSS関連の専門家は、そんなに多くありませんので、自社育成に主眼を置く方が現実的です。

 

最終報告の一番最後のところに、ECサイトの営業再開の情報が記載されていました。

5. 公式ショッピングサイト 「ハワイアンズモール」営業再開について
弊社は、前述の再発防止策の実施と並行し、公式ショッピングサイト「ハワイアンズモール」の営業再開に向けた作業に着手してまいりました。
すでに新システムが完成し、PCIDSS準拠の監査、クレジットカード会社の審査等も終了しており、本最終報告を経て、平成29年12月23日より営業を再開いたします。

(「不正アクセスによる個人情報流出に関する最終ご報告」から引用)

5月25日に決済代行会社からカード情報漏えいの可能性を指摘され、「ハワイアンズモール」のクレジットカード決済利用を停止してから、再開するまで7ヶ月かかったことになります。特にECサイトは、ひとつの参考として、この事業リスクを認識しておくべきでしょう。

 

ゴールドカード・クレジットカードのイラスト

 

更新履歴

  • 2017年12月22日 PM(予約投稿)