専門分野という事もあり、カード情報漏洩事件をウォッチして数年経ちますが、ずっと気になっていた事があります。公式リリースがそこそこの頻度で「消える」事です。
お気づきの方も多いかと思いますが、当ブログのカード情報漏洩系の分析記事では、なるべく企業等のカード情報漏洩発表リリースの魚拓を取る様にしています。
こうした魚拓を取る手法は、カード情報漏洩事件をほぼ拾われている、ScanNetSecurityさんが長年実施してきている事なのですが、企業がリリースを出しているのに、何故魚拓を取るのだろうと当初不思議に思っていたのですが、自分でインシデントを調べ始めて分かったのですが、意外にリンク切れが発生します。
※ScanNetSecurity参考記事(※赤枠部分が魚拓になっています)
先日、2021年の国内カード情報漏洩インシデントの調査データを集計していたのですが、(当方が把握している限りですが)72件のインシデント発表を確認しています。
※フィッシング等を含めるとインシデント数は更に出ていたと思いますが、ECサイトが直接攻撃されたインシデント発表数という事でご理解下さい。
前置きが長くなりましたが、この手持ちデータにおいて、インシデント公式発表がどの程度生存しているか(消えずに残っているか)を調べてみると、やはりインシデントという負のイメージを嫌ってか、知らない間に消えている事が分かりました。
2021年にカード情報漏洩を発表したサイトのお知らせ(謝罪リリース)の生存率は・・・61%(44件生存)でした。※本日(1/25)時点の調査データ
約4割が消えていました。過去のインシデントを調べる上で過去のリリースを探したりする事もあるのですが、一番正しい情報が掲載されているはずの企業・組織側のリリースが無いケースがあるという事は、覚えておいた方が良い内容かも知れません。
因みに、上半期(インシデント発表から6か月~1年程度経過)で50%(18件生存)です。
※今回は過去1年分しか調べてませんが、時間が取れれば去年、一昨年分も見てみようかと思います。
2021年下半期(インシデント発生~6か月程度経過)については、72%(26件生存)でした。
インシデント発表のリリースの掲載期間について特に法律やガイドライン等といった縛りは無いと思いますので、ステークホルダーに告知が出来たと思った時点でリリースが消されたとしても特に問題はないのですが、少しモヤモヤしたものを感じます。
具体名は出しませんが、最短だと12月上旬に発表したECサイトが既にリリースがありませんでした(2か月弱)。
その次に短い事例だと11月上旬の発表も1つ消えていましたので、こうした例を除けば、概ね3か月程度は告知をしている所が多く、1年経つと大手企業やリリースポリシーがしっかりとしている所以外は、リリースは消されていく、これがインシデント発生したECサイトの現状なのだと思われます。
違う見方をすれば、他社のECサイト被害を”他山の石”としたいECサイト運営者は、(当サイトやセキュリティ記事を小まめに追いかけないのであれば)早めに(リリースから1か月程度で)インシデント情報を入手する必要がある様です。
※2/6補足
改めて記事を見返してみると、調査データのソース先を表記してませんでした。下記のソースをご覧頂くと(必要な方は)追検証可能ですが、(Fox on Securityブログの月次・年次)有償コンテンツとしておりますので、ご必要な方は”仮登録期間”を使って閲覧下さい。
foxestar.hatenablog.com
foxestar.hatenablog.com
※一部コンテンツ有償化前の2020年下半期の調査データ記事(現在も無償閲覧可能です)を例に解説しますと、リリース日の所に事件当時の公式発表へのリンクを貼ってますので、ここが見える見えないを死活判断に使いました。(尚、上記調査ではリンク先が確認できない=死んでいる所でも、公式リリースが無いかを改めて確認しました)
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴