Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

森永乳業の事件発表を考えてみた。

海外でシンクラPCが使えなかったので、見れてなかったのですがここ数日のブログ閲覧数が普段の3倍位ありました。リンク先のページを見ると・・・森永乳業の事件記事へのアクセスが多い事が分かりました。

 

参考:

foxsecurity.hatenablog.com

海外出張してきた国際会議で、実はフォレンジック会社の関係者の方と少し話す機会があったのですが、とても忙しいそうという印象でした。(往々にして、まだ発表されて無いであろう事件調査で忙しそうですが、今回はすぐ来てすぐ帰る参加の仕方でした)

考えるみると、森永乳業事件リリースにも忙しいそうな背景が載っています。

 

4月25日より調査を開始いたしました。調査結果につきましては5月末日までPCF社より最終調査報告書を受領する予定です。

森永乳業リリースより引用)

 

5月末なので2週間程の調査作業となってしまうので、かなり忙しい時期であろう事が推測できます。

 

私は少なくても2年以上はカード情報漏えい事件をウォッチしてきていますが、多くの企業では、フォレンジック調査会社から調査報告書を受領してから事件を発表しています。そうした中でこの森永乳業の第一報は概要の段階で発表し(※まったく間違ってません)、その発表の中でステークフォルダーに対し調査を月末までに終わらせると宣言されている事になります。

 

この背景に何があるかと考えると、恐らく日経 xTECH(日経新聞)さんの影響なのかなと思います。

tech.nikkeibp.co.jp

この事件に対して非常に深い記事を出されているので、調査内容(スクープ)を森永乳業に事件ぶつけた結果、調査報告書を受領前に事件を公表しなければならなくなったと考えると、普通のカード情報漏えい事件との差分について、理解できそうです。

とは言え、何故セキュリティコードまで漏れているのか、今月末に出るであろう調査報告書の中身はとても気になります。

PCI DSSでは決済後に保存してはいけないデータと定義されており、それはカード情報非保持であったとしても同じです。まして今回は決済代行業者を使っているようですから、普通ならセキュリティコードは漏えいする事が無いはずです。

変なログに残していた・・・と言った過去によくあった実装ミスという可能性も、もしかしたらあるかも知れませんが、(その場合は森永乳業の責任が重いです)決済代行業者に依頼する、あるいは実行計画上の非保持を実現しようとする際にシステム部門が(変な所にカード情報が残ってないか)再調査しておくべき部分なので、あまり現実的では無い気がします。

 

いずれにせよ最終報告書の発表を待ちたいと思いますが(5月末に森永乳業が受領するとして、対外発表は6月初旬でしょうか?)、その事件原因内容によっては、今回の日経記者さんのスクープが6月1日に施行される改正割賦販売法、あるいは法令違反にならないように各社が取り組むべきガイドライン(実行計画はそのガイドライン)にも影響が出てくるかもしれないという印象です。

 

 

瓶入り牛乳のイラスト

 

更新履歴

  • 2018年5月19日AM(予約投稿)