個人情報流出事件とその対応

　サウンドハウスの個人情報流出事実が発覚した3/21から4/16までの対応内容が時系列でレポートされ公開されています。特に事実が発覚したときに何処に連絡を取りしかるべき対処すべきか参考になると思います。

不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ
http://www.soundhouse.co.jp/news/20080418.pdf

このレポート中で気になる点があったので取り上げてみます。

• LACによるログ分析

同じタイミングでIPAから次のプレス発表がありました。

情報処理推進機構：情報セキュリティ：ウェブサイトの脆弱性の検出ツール
http://www.ipa.go.jp/security/vuln/iLogScanner.html

開発会社が同じということもあって同一ツールかもしれません。公開の目的は、今回のサウンドハウスが氷山の一角で他にも個人情報を抜かれているシステムを検知し被害の拡大を抑えるためかもしれません。

• 3Dセキュアを使用した不正利用

これはもう少し詳細が欲しいところです。3Dセキュアを不正使用するにはカード番号だけではなく「クレジット会社側が保有しているはずのパスワード」が必要なはずですがそれは何処から手に入ったのでしょうか？もうひとつは3Dセキュアを過信し油断したらしいのですがどうも責任転嫁と取れる書き方なので落ち着いたらもう少し客観的な調査報告が欲しいところです。3Dセキュアの導入の条件でサイト側のセキュリティレベルを下げる必要が本当にあったのか？

• ガンホー名指しですが…

今回の流出及び不正使用の原因となっているのかどうか？不正利用者が主にガンホーで商品購入していたのであればガンホーも被害者側ですがどうなんでしょうか？流出したサウンドハウスのサイトにログインするパスワードと3Dセキュアのパスワードが同じだったということであればもう目も当てられません。

　レポート全体の内容としては気持ちは大変わかります。要は騙された感いっぱいで腹立たしいことばかりなんでしょうけど現実そんなもんですよ、基本は自衛で無理があるなら保守丸ごと外注するしかない。まず最初にやる事は公開しているページのセキュリティをプログラムレベルでしっかり高めておくことで、ファイヤーウォールやIDSやその他セキュリティーツールは水際で阻止するための前衛部隊としてパフォーマンスやコストを気にしながら使うものです。

サーバーの選定とかについては別のエントリーで…。