ホーム > ブログ記事 > え?うちが?スタッフたった10名なのに・・
 

え?うちが?スタッフたった10名なのに・・

2016-03-10 5:41 AM

『うちみたいな小さい会社が狙われるなんて・・』

 『一度離れたお客さまが戻ってきてくれることはもう二度とないだろう』

(京都薬品ヘルスケア 担当者47歳)

 

たった10名の従業員しかいない健康食品の販売会社(『京都薬品ヘルスケア』がハッカーの標的になりました。ハッカーに侵入され、顧客情報を盗まれ、いつ二次被害、三次被害が起きてもおかしくない状態です。同社のホームページは、今も閉鎖状態が続いています。ある意味、中小企業でもハッカーに狙われるという象徴的な事件です。
同社運営のショッピングサイト『eキレイネット』では、コラーゲン、ヒアルロン酸などの美容品を販売していましたが、そこの顧客情報(個人情報)1955件が流出した模様です。流出したのは、氏名・住所・クレジットカード情報などです。

 

DHCや再春館製薬や資生堂などの有名大企業ではなく、従業員わずか10名、顧客情報も2000件にも及ばない小さな会社が、ハッカーにロックオンされたのです。

 

事件の要点をまとめますと、

 

●事件の発覚は2015年11月

 

●決済会社から、『カード情報流出の疑いあり』との一報

 

●外部のサーバーに、不正プログラムを仕掛けられた

 

●感染経路が特定できていない

 

●流出したカード情報の件数・内容が特定できていない

 

●今後とるべき対策方法が分からない

 

●同社のホームページは、現在閉鎖されており、再開の目処たたず

 

このような要点が挙げられます。なんとも、お粗末な結果であるとも感じます。

 

弊社のような技術屋からすると、この健食会社『京都薬品ヘルスケア』さんを責める気にはなれません。なぜなら、契約していたサーバー会社や、デジタルフォレンジックを行った調査会社を信じるしかなかったと思うからです。京都薬品ヘルスケアさんの10名のスタッフの中に、セキュリティとフォレンジックの専門家がいたとは思えません。

 

従って、本来責められるべきなのは、侵入されたサーバー会社です。推測ですが、京都ヘルスケアさんは、ホームページやシステムや情報の置き場(サーバー)を借りていただけだからです。サーバー会社には、少なからずセキュリティ担当者がいるはずです。もしくは、セキュリティの一式を外部の専門企業に任せているケースもあります。それらの会社の責任を問わねばなりません。

 

そしてもう一点、デジタルフォレンジックを行った調査会社の報告がお粗末に感じます。事件の直後に調査を開始したとしたら、もっと情報を特定できるのが普通です。

 

もし、サーバー会社と調査会社が親密な関係にある場合、サーバー会社のメンツを守るために、虚偽(隠匿)の報告をしていることも視野に入れなければなりません。

 

もし調査会社に優秀なフォレンジック能力がない場合、調査は無価値になります。

 

特に、今後取るべき対策方法が分からないというのは、致命的です。

 

ハッカーに情報を盗まれたということは、必ずどこかに脆弱性(穴)があり、そして、その脆弱性を悪用するエクスプロイト(exploit)があります。これらを特定し、セキュリティレベルを向上させる目的で行うのがペネトレーションテストです。

 

京都薬品ヘルスケアさんの場合にも、取るべき対策はたくさんあります。そして、利用していたサーバー会社も取るべき対策がたくさんあります。その対策方法が見つからないというのは、優秀なペネトレーションテストやフォレンジックを行える人がいない、もしくは、そもそも行っていないとしか考えることができません。

 

ハッカーにとって、セキュリティ対策の甘い中小企業は、ある種、大手企業侵入への踏み台としても使いやすいものです。日本全体で、セキュリティレベルの向上を目指さねばなりません。

 

ハッカーによる攻撃を受けた方は、すぐにご一報ください。

 

必ず対策方法はあります。

 

 

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。