不正アクセスによってクレジットカード番号などの個人情報が流出する事件が相次いでいる。流出事件を起こした大手通販企業・サウンドハウスの中島尚彦社長が、セキュリティー関連のセミナーで事件の経緯を語った。(テクニカルライター・三上洋)
流出データからクレジットカードの不正利用6月18日にネットワーク機器大手のシスコシステムズ社と、セキュリティー大手のラック社共催による「日本が狙われている!Web攻撃の裏で起きている真実と対策セミナー」が行われた。このセミナーには、大手通販企業・サウンドハウスの中島尚彦社長も出席し「通販企業を蝕むWeb攻撃の真実とサイバー社会へのメッセージ」という講演を行った。
サウンドハウスは楽器や音響機器の大手通販企業で、2008年4月に大規模な個人情報流出事件を起こしてしまっている。事件の概要をにまとめておこう。
・2008年3月にクレジットカード会社からの指摘で、不正アクセスとカード番号流出があることが発覚。主な原因は、サウンドハウスのサーバー側のプログラムに問題があったこと。中国からの不正アクセスでバックドアと呼ばれる裏口を作られ、外部からデータを見られる状態になってしまっていた。中島社長は「多大なご心配とご迷惑をおかけしたことにつきまして、深くお詫び申し上げます」と改めて陳謝していた。
中島社長は陳謝したうえで、「パスワードの設定にも問題があったかもしれない」と語っている。今回の流出事件では、クレジットカード番号は漏れているものの、パスワードは流出していない。パスワードはサウンドハウスで保存していないからだ。それでも不正利用されたのは、流出データの中にパスワードを推測できるデータがあったためだ。今回流出したデータには「サウンドハウスの会員システムのログインパスワード」と「生年月日」があり、ここからクレジットカードのパスワードを推測された可能性がある。
クレジットカードのパスワードと会員システムのパスワードが同じか、生年月日と同じにしていたユーザーが被害に遭っているようだ。中島社長によれば「同じパスワードを使っている人がとても多いようだ」とのことで、これが不正利用の原因となっている。銀行とクレジットカードのパスワードはもっとも重要なもの。必ずほかのパスワードとは別のものに設定しよう。
事件後の徹底した情報公開で信用を取り戻すこの事件ではサウンドハウスにユーザーからの問い合わせが殺到した。4000件以上のメールや大量の電話問い合わせがあり、スタッフが総出で対応したとのこと。それでも問い合わせは止まらず、時間がたつにつれ細かい部分への問い合わせも増えてくる。そこで社長は思い切った行動に出た。事件の経緯を、すべて公けにしてしまったのだ。
経緯をまとめたプレスリリース(PDF文書)は22ページにも渡る膨大なもので、原因追求や対策だけでなく、クレジットカード会社やセキュリティー企業とのやりとりまで細かく書かれている。プレスリリースの一部を例として取り上げよう。
(以下サウンドハウス社のプレスリリース(PDF文書)から引用)
4月1日朝:カード会社双方とも、すぐに対応できない、ということでサウンドハウスと意見が対立、サウンドハウス代表と電話で直接会談。
(ここまで引用)
このようにカード会社とのやり取り、問題点まですべて公けにしてしまった。関係する企業には迷惑な話だったが、サウンドハウス側はユーザーのためにとすべて公開した。
ここからは筆者の見解になるが、事件に巻き込まれたユーザーにとって心配なのは「これ以上の被害が出るのかどうか?」ということ。それには企業側がどんな対応をしているのか、きちんと対策をとっているのかどうかを知りたい。社長がマスコミの前で「申し訳ありません」と頭を下げるだけでは、被害者には何の役にも立たない。事件の詳細、補償の内容、そして今後の対策について詳しい情報を提供することが、ユーザーを安心させる第一歩となる。
この異例なまでの情報公開プレスリリースによって、ユーザーからの問い合わせは激減したそうだ。ユーザーからは応援のメッセージまで届くようになっている。
企業の信頼度は「情報公開」でチェックただし、この思い切った情報公開プレスリリースは、関係した企業には不評だったようだ。セキュリティー会社には「やめたほうがよい」と言われ、またクレジットカード会社からも「プレスリリースに不満がある」と言われているそうだ。サウンドハウスでは、事件後に徹底したセキュリティー対策を施したが、いまだにクレジットカード決済は再開できていない。
情報公開プレスリリースの内容に不満があるとしたクレジットカード会社は、サウンドハウスとの加盟店契約を解消したとのこと。これについて中島社長は「クレジットカード会社と力を合わせ、日本全体のセキュリティー対策をしっかりさせたいと考えていただけに残念だ」とコメントしていた。
日本企業への不正アクセスはエスカレートしているので、今後も企業による個人情報流出は起きるだろう。事件が起きてしまったら、ユーザーは企業がどう行動するかをチェックすべきだろう。事件の情報を隠そうとするか、それとも徹底公開するかどうかで、その企業の信頼度を計ることができる。
●参考
・サウンドハウス社:不正アクセスに伴うお客様情報流出に関するお詫びとお知らせhttp://www.yomiuri.co.jp/net/security/goshinjyutsu/20080620nt0d.htm