サイバー戦争の幕開け ! 第3篇
攻撃のターゲットとなったカードデータの流出による大混乱とは !
SQLインジェクションと呼ばれる弾頭を搭載した目には見えない架空ミサイルが、サイバーの世界を飛び交っています。その矛先の多くは日本に向けられ、格好のターゲットとなったサウンドハウスは、知らぬ間に被弾していました。そしていつの間にかWEBサーバー経由で「バックドア」と呼ばれる裏アクセスの穴をこじ開けられ、そこから不正ファイルが埋め込まれ、一触即発で多大なる被害が生じかねない状態のまま長期間、放置されていたのです。しかもその不正行為は非常に巧妙な手口で実行された為、誰も知る由はありませんでした。
被害の実態が見えてきた!
サイバー攻撃によるデータ流出の結果、流出した可能性のある顧客データ数は97500件にまで達していたことがわかりました。その手口は、アクセスログを検証した際に発見した悪性プログラムの解析から明らかにされ、2007年と2008年に新規登録をした顧客データが、今回の流出ターゲットとされていたことが確認できました。その中からクレジットカード情報を含むデータが抽出され、更にカードの有効期限にゆとりがあると思われる2008年の新規顧客登録データに絞り込まれて悪用された可能性が高いのです。その結果、最終的に実害が生じた可能性がある顧客データ数は、およそ4800件であると推測されました。攻撃に参加したハッカーの多くは、インターネットに公開された攻撃マニュアルに従ってこれらのデータを抜き取り、素早く換金することを目指したと考えられます。流出した顧客情報の中には、クレジットカードだけでなく、サウンドハウスのサイトにログインするためのパスワードも含まれていました。サイバー社会における危機管理において、パスワードを共有することは避けるべきで、特に金融機関に使うパスワードは、他のパスワードと異なるものとするべきです。ところが、こうしたパスワード管理についての常識が、まだ十分に浸透していないため、現実には同じパスワードが様々なサイトで使い回されているのです。
ハッカーはその盲点をついてきたのです。ここ最近3Dセキュアと呼ばれる本人認証システムがインターネット上のショップで導入され始めました。本人しか知らない秘匿性の高い暗証番号を活用することにより、安全にクレジットカードを利用してショッピングができるというシステムです。ところが、クレジットカードのパスワードと同じものがサイトのパスワードとしても登録され、そのパスワードがカード番号と一緒に流出すると、誰でも本人になりすまし、3Dセキュアを採用しているネットショップで何ら疑われることなく買い物ができてしまうのです。その結果、各種オンラインゲームサイトでクレジットカードを悪用し、ゲーム内で使用するお金やアイテムを購入。その後、それらをRMT(リアルマネートレード)と呼ばれる転売手段を用い、オークションサイトなどで換金するという行為が繰り返されていたのです。
実際のクレジットカード被害件数は、カード会社が公表しないために不明ですが、悪用された可能性の高い4800件の顧客データの中で、クレジットカードとサウンドハウスのサイトで同じパスワードを使用している可能性は、多くても8割でしょう。そして、攻撃が成功して最後の換金までたどり着く可能性を5割と想定すると、被害件数の予想はおよそ2000件となります。当初発表のプレスリリースでは、抜き取られたデータの総数は最大97500件とお知らせしましたが、実害を伴う被害件数は、おそらくその2%程ではないかと推測します。いずれにしても、サウンドハウスのスタッフが現を抜かしているうちに、あっという間に、貴重なデータが搾取され、闇組織の錬金術の罠に、見事にはまってしまったのです。
情報公開に「待った」がかかる
巧妙なサイバー攻撃を受けた結果、サウンドハウスは大変深刻な事態に直面しました。まず、クレジットカード会社より流出の可能性を指摘されたものの、当初から被害の実態が全く見えてこないのです。クレジットカード会社は、被害に関連するカード情報について、その詳細を公表しないため、どの程度の被害が実際に生じているのか、見当がつきません。また、流出の原因についても、調査機関の検証によるレポートが出るまでには時間がかかるということで、クレジットカードの決済機能はすぐに停止したものの、不安が募りました。正に奇襲攻撃を受けて、混乱に陥った戦場のごとく、社内に緊張感が走りました。
最も深刻な問題は、個人情報の流出に関する情報公開のタイミングでした。ハッキングによって大切な個人情報が盗まれて、クレジットカード情報が悪用されていることがわかった訳ですから、当然ながら被害を最小限に食い止めるための努力をしなければなりません。その為にもまず、被害にあった可能性のある顧客に対して、素早く情報を伝達しなければならないはずです。ところが、いざ情報公開をするため準備を完了すると、意外にもクレジットカード会社から「待った」がかかったのです。そして被害状況の全体がわかるまでは情報を公開しないようにと釘を刺されてしまったのです。いたずらに不安心理をかきたてることを避ける為にも、まずは被害の実態を確認し、更に顧客対応の準備を周到に整えてから、情報公開に踏み切りたいということでした。これまでの経験則があるのでしょう。情報公開をする、しないという最終判断も含めて、カード会社が主導権を握り、加盟店を仕切るのが当たり前のような風潮が漂っていました。この一見、圧力的とも思える一方的な物事の進め方に、サウンドハウス側としては抵抗を感じずにはいられませんでした。しかし調査会社のアドバイスを受け、従うことが賢明であろうということで、最終的にはクレジットカード会社と足並みを揃え、情報公開のタイミングを調整することに合意しました。
身動きのとれない加盟店
こうして流出が発覚した直後より、連日のようにカード会社と協議を重ねながら、情報公開のタイミングを模索することになりました。サウンドハウス側としては、一刻でも早く情報を伝達しなければ被害が拡大するのではないか、という懸念から、今すぐ情報公開をするべきだ、という声が次第にくすぶっていきました。そして流出が指摘されてから9日後の3月30日には、調査機関から正式な報告を受け、事件の実態をおよそ把握することができた為、カード会社から情報公開のGoサインが出ると思いきや、その時点でもクレジットカード会社は首を縦にふらず、準備にまだ時間がかかるとのことでした。
その時、遂に問題が発生しました。お客様から「サウンドハウスは流出事件を隠蔽している!」というクレームの電話やメールが寄せられるようになったのです。そして「流出があったことを、何故知らせないのか?」、「なぜ情報公開をしないか?」等の問い合わせやクレームが徐々に増え、社内が混乱に陥ったのです。
お客様が怒るのも無理はありません。何故ならクレジットカード会社は、被害が確定したお客様については、クレジットカードの利用を一旦停止して、新しいカードを作り直す作業に着手しなければならず、顧客に連絡をしていたのです。その際、サウンドハウスからの情報流出が原因で、カード被害が生じたという説明がなされたのです。これにはスタッフ一同、唖然としてしまいました。準備ができるまでということで我慢して待っている矢先、何の断りもなく、名指しでサウンドハウスが流出事件をおこしたという説明を付け加える訳ですから、当然のことながらサウンドハウスだけが悪者扱いされます。情報公開をしたいのに、カード会社から止められていることを説明する訳にもいかず、ひたすら謝罪するしか術がなかったサウンドハウスの営業部隊のストレスは限界を超え、いつしかカード会社に対する不信感が募っていくことになります。
情報公開のタイミングについては、確かに準備態勢が整わないまま先行してしまえば、重大な2次災害になりかねません。数万人のカード利用者が突然、カード会社に対して一斉に電話をかけてしまったら、どんなカード会社でも対応できる訳がありません。コールセンターの電話回線がパンクすれば、連絡がつかないと激怒するお客様も少なくないはずです。また、対応窓口となるカード発行会社も100社以上存在するため、情報を伝達、確認する時間も必要です。それ故、最低限の準備期間は必要であることに間違いはありません。しかしその間、クレジットカード会社は被害状況が確定した利用者とは個別に連絡をとり、事実上、情報公開していく訳です。
ここに大きなジレンマがあります。身動きのとれない加盟店企業は、情報の流出という事件をおこしたことについて責任を追及され、尚且つ、情報公開を意図的に遅延、隠蔽しているとして、非難を浴びる結果となります。逆にクレジットカード会社は、加盟店よりも先行してお客様と連絡をとり、問題を説明し、無償で各種サービスを提供するということで、消費者より高い評価を受けるのです。カード会社のリクエストに応じて情報公開のタイミングをずらし、目いっぱいの協力をしているにも関わらず、情報を隠蔽していると非難される中、説明ができないという状況が続き、サウンドハウス社内には異様なまでの閉塞感が漂うことになります。
殺到する顧客の問い合わせ
調査報告を受け取ってから4日後の4月3日木曜日、カード会社と協議の結果、サウンドハウスのWEBサイト上にまず、「個人情報の流出について」というお知らせが掲載されました。翌日からはメール配信が始まり、それから3日間かけて、10万人以上のお客様に直接、個人情報の流出についての謝罪と説明がメールにて配布されました。その直後から、想像通りにメールと電話の問い合わせが爆発しました。社内では24時間体制で返答の処理を進めることになっていましたが、数えきれない電話と、4000件以上のメール問い合わせを目の当たりにし、しかも日増し難しくなる問い合わせへの対応のため、激務と疲労が頂点に達します。
(文・中島尚彦)
