サイバー戦争の幕開け ! 第1篇
日本企業を蝕むサイバー攻撃が密かに始まっている ! !

2008年3月21日、午後4時、成田市内に本社を持つ国内最大規模の楽器音響機器の販売会社であるサウンドハウスに衝撃が走りました。サウンドハウスが提携しているクレジットカード会社、三菱UFJニコス社が来社し、「サウンドハウスのサーバーがハッキングされ、クレジットカード情報が流出した可能性がある」と通告してきたのです。ハッキングとは、自社のインターネットWebサイト等に外部から何者かが不法に侵入することを意味します。カード会社は、不正使用があったと思われるリスト、およそ40件を持参し、それらの共通点が全員、サウンドハウスの顧客であるというのです。

サウンドハウスでは以前、クレジットカードの不正使用が発覚したことがありました。しかしそれはスキミング等で、盗まれたカード番号を悪用してサウンドハウスで商品を購入し、一見普通の住所に見えるメールボックスを届け先に指定、商品を受け取り、行方をくらますというものでした。ところが今回はどうも訳が違うようです。

その2時間後、今度は、もう一つの提携クレジットカード会社であるJCB社が来社。同じようにクレジットカードが不正使用されたリストと文章を持参し、至急調査の依頼をしてきたのです。こうして2社ほぼ同時に来社したことにより事件性が高いことが明確となったため、早速クレジットカードの利用停止を決定しました。クレジットカード情報が盗まれ、悪用されている可能性が高いことが分かった以上、被害の拡大を防ぐことが最初のステップです。そしてインターネットのセキュリティ専門会社に即刻調査を依頼しました。その後、事件は思わぬ展開をすることになります。

インターネット・ショッピングの到来

1993年の創業時、海外とのやり取りは全て、電話とファックスに頼っていました。その後、ｅメールが普及し、1998年には電話とファックスに取って代わり、社内外のコミュニケーションに活用し始め、ホームページも1999年に開設すると、お客様からの問い合わせや注文もホームページを経由して来るようになりました。

商品を購入する際の支払い方法は創業当初より、銀行振込が中心でしたが、その後、代金引換やショッピングローンも加わり、2001年には、国内でも急速に普及し始めたクレジットカード決済も開始しました。そしていつしか通信インフラが整備され、インターネット通販が広く普及したことで、2008年にはネットを介した注文が全体の4分の3を超え、その内4割以上のお客様がクレジットカードで決済をするようになったのです。

これほどまでにネットショッピングとカード決済が急速に普及した背景には、その利便性と情報量の豊富さ、そして安価な通信コストにあるといえます。常時接続のインターネットならば通信コストは余計にかからず、情報の伝達も一瞬で完結します。その上、商品の画像や動画にスペック、価格等をチェックできるだけでなく、お店との情報交換も自由自在にできるまでになりました。また、クレジットカードや、様々な決済サービスが普及したことも手伝い、販売する側、購入する側にとって、不可欠な社会インフラとなったのです。ところが急速に普及した新しい情報ネットワークであるだけに、いつの間にか、セキュリティのほころびがあちらこちらに生じ、サイバー攻撃にさらされていても、全く気が付かないまま時を過ごしている日本人の実態が浮かび上がってきたのです。

サイバー攻撃を防御するセキュリティ対策

全世界を網羅するインターネット社会は、世界がひとつの情報網によって結ばれています。ところがネット社会は、技術的革新を通して人類の発展に大きな貢献をもたらしているだけでなく、その情報網を悪用して、事実、犯罪の温床にもなっているのです。インターネットを悪用した犯罪としては、以前より違法な物品の販売やネットオークションでの詐欺、その他、脅迫や業務妨害が、主たる違法行為でした。その後も、個人の金融情報をだまし取るフィッシング詐欺や、出会い系サイトを通した拉致や殺傷事件、麻薬売買等、社会問題が後をつきません。最近では、ネットワーク上のコンピュータに悪性プログラムを埋め込んだり、プログラムを改竄したりと、多種多様の犯罪が行われていることがわかっています。

つまりサイバー社会においても、一般社会の常識と同様に防犯対策は必須であるということです。何も知らずにインターネットビジネスを試みようものなら、それは全く無防備のまま裸で弾丸の飛び交う戦場に行くようなものです。それ故、インターネットの時代に企業がネット通販に着手するということは、単に事前調査だけでなく、サイバー戦争の現場に出て行く覚悟と、それなりのセキュリティ対策が必要になります。インターネットの世界は、サイバー戦争の激戦地であるという認識を新たにしなければならないのです。

インターネット・セキュリティの実態

警視庁が平成20年2月に発表した全国の企業、教育機関、医療機関、行政機関に対して行ったアンケートによると、不正アクセス等の検知対策を実施している機関は、まだ全体の4分の１しかありません。そして内部のコンピュータネットワークの安全を維持することを目的として、アクセスを制御するために使われるファイアーウォールを導入している機関は14.4％、不正侵入を自動検知するIDSに至っては12.1％しか導入していないことがわかりました。まだまだ国内全般にセキュリティ対策への関心が低いことが、データで実証された一例です。

サウンドハウスでは、当初よりサイトは全て自社開発をしており、セキュリティ面に関しては、システム管理者をフルタイムで雇用し、セキュリティ専門のベンダーや、外部のアドバイザーから指導を受けながらセキュリティ対策を構じてきました。その結果、早くからファイアーウォールを設置、2005年1月には「Webサイトの安全性を証明」という謳い文句で知られるハッカーセーフも導入しました。その後、クレジットカード会社側からの提案で、「導入したら万が一不正使用があっても明確な責任区分ができ、その場合カード会社が責任を取るので加盟店にとってもメリットとなる」ということで、3Dセキュアという本人認証サービスも導入しました。その結果、やるべきことはきちんとやっているという安心感が社内に漂うことになったのです。

そのような甘い認識も手伝ってか、ファイアーウォールの設定が甘くなり、弊社のシステム開発を請け負う米国現地法人とのやり取りにおいても、攻撃にもろい仕組みが残された状態になっていました。また、ホストからのアクセスも、必要最小限以上に許可されていたのです。その内、世間ではハッキングの事件が急増し、2005年以降は特にSQLインジェクションによる被害が目立ち始めたにも関わらず、それらの情報さえも十分に得ることができず、他社の被害報告から学ぶチャンスを見失いました。そしてうかつにもサイバー攻撃の標的となってしまったのです。

緊急調査による被害状況の把握

被害を受けた以上、問題を把握し、早急に修復を行い、そして今後の対策を練って早急に実行しなければ、いつまた、攻撃にあうかわかりません。事件が発覚した当日夜、早速クレジットカード会社から紹介された第3者調査機関であるLAC社と連絡をとり、翌日の22日早朝には、調査員が来社し、アクセスログを解析する調査が開始されました。そして昼過ぎには、昨今攻撃が増えた「SQLインジェクション」と呼ばれる攻撃があったのではないか、との報告を受けました。

しかし調査には、まだ時間を要する、ということでもあり、とりあえず一時的なセキュリティ対策として、今すぐできることは全て実施しようということになりました。その結果、WEBサーバーと、DBサーバーのハードディスクを交換し、各サーバーのパスワードも変更、ASPエラーが返される設定は無効にされ、新規カード登録ができないように設定し直しました。また暫定でIDSと呼ばれる検知装置をLAC社から借りて設置し、24時間の監視体制が開始されました。頑強なセキュリティ対策の始まりであり、それは会社の生命をかけた防衛システムの構築とも言えます。

そして調査が行われている間、一刻でも早くお客様へ情報を開示し、詳細を告知すべきと考えたため、クレジットカード会社と相談すると、「当面、告知は見合わせ、詳細が確認できるまで待つように」との依頼を受けたのです。これには当初、驚きました。データが流出して悪用される可能性があるのだから、てっきり、すぐにカードユーザーであるお客様に、連絡をするのが当たり前のことと思っていたのです。ところが、カード会社は「待て」の一点張りです。連日、カード会社と議論が続きましたが、LAC社とも相談したところ、経験則から、やはりカード会社と連携して行動することが大事であるというアドバイスを受け、とにかく流出の詳細がきちんと把握できるまでは告知を控えて我慢することになりました。その間、千葉県警成田署、及び千葉県警サイバー犯罪窓口へ一報を入れ、被害届けを出したのです。

そして3月30日には、ログの検証に基づく流出データの分析をもって、サイバー戦争の現実的被害を確認できるレポートがあがってきました。そこで目にしたものは、「SQLインジェクション」、「発信元　中国」、「悪性プログラム」、「約97500件のカード情報を含む顧客情報が漏えいした可能性あり」というそれまで、考えたこともなかった言葉の数々でした。