orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

森永乳業の情報流出レポートに学ぶものなし

f:id:orangeitems:20180604205827j:plain

 

森永乳業通販サイトの件

当ブログでは、情報が少なくて静観していた「森永乳業通販サイトにおけるお客さま情報の流出」について最終?レポートが提出されました。

健康食品通販サイトにおけるお客さま情報の流出に関するお詫びと調査結果のお知らせ | 大切なお知らせ | 森永乳業株式会社

 

続々と報道がされています。

森永乳業の通販サイト、個人情報流出は最大9万人超 - ITmedia NEWS

カード情報流出、不正使用300件=森永乳業の通販サイト:時事ドットコム

 

報告書レビュー

学ぶべきことがあるかと思いましたが、原因が全く深掘りされておらず情報不足です。

情報流出の原因としては、当該サイトで使用していた旧サーバーの脆弱性を悪用された不正アクセスの可能性が推察されました。

 

何の脆弱性?

不正アクセスの経路は?

推察という言葉を使っているということは断定ではない?

なぜ流出対象が2015年1月7日から、ということが断定できたのか?

バックアップには、何が保管され何が保管されていなかったのか?

クレジットカード情報を流出させたお客様に対しての賠償責任はないのか?。カード再発行に伴う手間はどう考えるのか?

 

この報告書を持ってECサイトが再開できるとしたら、本当に甘いと思います。再度同じ現象が起こっても、お客様にこのように言葉だけ謝って終わりで済ませてしまうのではないのでしょうか。

下記の対応とは雲泥の違いを感じます。

九州商船の「弊社WEB予約サービスに対する不正アクセスに関する最終報告」は全てのエンジニアに読んでほしい - orangeitems’s diary

 

もし、サーバー入れ替えのため情報が限定的にしか残っておらず原因追求ができない状況にあるのなら、それをもっときちんと書くべきです。そして今後は、そうだったとしても原因追求できるようにするための対策が盛り込まれるべきです。

・今後はシステム更改後も、古いサーバーのシステムバックアップを保持しておき、何かあった場合OSごとリストアできるようにする。

・ログ等はシステム終了から10年間は保管しておく。

 

セキュリティー強化策を行なった上で再開、というのはどのような意味でしょうか。もっとその対応策を明確にするべきだと思います。

・第三者の外部セキュリティー監視サービス等に加入し、WAFやIPSを完備し、不正アクセス時には24時間体制ですぐに気が付けるようにする。

・脆弱性検査を定期的に実施しパッチを適用する。

・データベースへのカード情報の保管をしないようにする。

など。

 

考察

世間一般に、WEBサイトからの情報漏洩については過去何度も何度も起こっています。そこでわかるのは事業者の姿勢です。森永乳業は「再開する予定です」と言っています。もし再度、何らかの原因でトラブルが起こったらまたこのレベルのレポートで済ませるのではないでしょうか。今回これで済ませようとするのなら、私ならそう思います。

そうではないのなら、もっと技術的に踏み込んだレポートを公開すべきだと思います。なぜならば、その事業者がECサイトを運営できる能力があるかどうか、そのレポートでわかるからです。今回のレポートでは能力不足に思います。

クレジットカードのセキュリティコードも流出の可能性、森永乳業の情報漏洩 | 日経 xTECH(クロステック)

森永乳業は2018年5月9日、同社の通販サイト「健康食品通販サイト」で会員情報が漏洩したと発表した。クレジットカード会社から4月24日、会員のカード情報が不正に使用され被害が生じていると指摘されて、事態を把握したとしている。

 

今回の件は、上記のようにクレジットカード会社からの指摘によって初めて森永乳業自身が気がついたことがわかっています。かつそれを自ら公開せず、日経の報道によって世間に明らかになったという理解です。この対応を含めてECサイトの運営能力不足はすでに露呈しています。

どのようなセキュリティー強化策を行うのかを具体化しないまま、また、今回の件の反省があいまいなまま、「再開する予定です」はないなと思いました。

 

ぜひ、東証1部の名門企業らしく、今回の件を誠実に情報公開し反省し、再出発していただきたいと思います。

 

 

リスト型攻撃が招く Webサイトの危機(日経BP Next ICT選書) 日経コンピュータReport Kindle版