セキュリティの“ベンダー任せ”が危ない

不正アクセス事件が後を絶たない。11月19日には，ワコールの電子商取引サイト「ワコールオンライン」が不正アクセスを受け，同サイトから商品を購入した顧客の情報（5124人分）が奪われていたことが明らかになった（関連記事［1］，［2］）。奪われた情報に顧客の氏名は含まれなかったものの，2016件の決済情報（クレジットカード番号と有効期限）は漏えいしており，一部がインターネット・ゲームの決済などに不正利用されたもようだ。

ワコールはもちろん，同社からシステムの構築と運用を委託されているNECネクサソリューションズは，顧客から指摘を受けるまで不正アクセスの被害に気づいていなかった。同社では当初，「8月に実施したシステム改修でアプリケーション・レベルの脆弱（ぜいじゃく）性を混入させてしまい，そこを狙われた可能性が高い」（ワコール広報部）としていた（関連記事）が，その後の調査で2003年にも不正アクセスの痕跡が見つかったことから，脆弱性は改修前から含まれていたと見られる。

攻撃に気づかなくて“当たり前”

ワコールのように不正アクセスに気づかないことは，必ずしも珍しいことではない。「愉快犯や政治犯ではなく，最近では明確に金銭目的の犯人が増えている。犯行が露見するまでの時間を稼ごうと，犯人は運営者や管理者に気づかれないように攻撃を仕掛けてくるようになった」（ラックセキュアネットサービス事業本部 取締役本部長 西本逸郎氏）からだ。現に，2005年春に不正な〈iframe〉タグを挿入されるという被害に遭ったあるコンテンツ業者は，こう証言する。 「（その後の調査で）改ざんされる半年前に数万件の個人情報を奪われていたことが判明した。情報を抜かれたことにはまるで気づいていなかった」---。

これらの事例から見えてくることは，不正アクセス事件とは無関係と思っている企業でも，「気づいていないだけで，実際には被害に遭っている可能性がある」（西本氏）ということだ。それゆえに，Webシステムに携わるすべての担当者は，（1）被害の有無，（2）既存システムに含まれる脆弱性の有無，（3）既存システムに含まれる対策の充実度，（4）新規システム構築時の対策の充実度---について，すぐにでも点検していただきたい。ユーザーの不完全な対策を逆手に取った攻撃手法も考案されているので，「うちは対策済みだ」と過信することは禁物である。1度点検したからといって安心せずに，繰り返し実施することが肝心だ。周囲にセキュリティの専門家がいなければ，経済産業省が公開する「情報セキュリティ監査企業台帳」（リンク）を参考に支援を求めてみてもよい。 [全文]