カカクコムは25日、製品価格比較サイト「価格.com」に対する不正アクセス事件と、サイト再開に関する記者会見を行なった。会見では、「不正アクセスの一部IPアドレスが特定されるなど、不正アクセスの経路や原因等の解明が進み、警察庁に対して情報を提供した」と現状を述べた。ただし、不正アクセスの具体的な手口については、「他のサイトへの攻撃につながることや捜査に支障をきたすおそれがある」として公表を避けた。
● 「過失はない」としながらも、具体的な不正アクセスの手口については公表せず
|
カカクコムの穐田誉輝代表取締役社長兼CEO
|
会見では不正アクセス発覚からの経緯を改めて説明し、11日に不正アクセスを確認した時点から24時間の監視体制により手作業によって直接修正を行なってきたが、攻撃頻度の上昇により対応不可能となってサイトの閉鎖に至ったとした。この不正アクセスにより価格.comのサイトが改竄され、アクセスしたユーザーのブラウザにウイルスに感染させようとする別サイトがiframeにより読み込まれる形になった。また、価格.comに登録されたメールアドレスのうち22,511件が詐取されたことが判明している。
不正アクセスの原因調査については、セキュリティ専門会社の登用により事件の全容解明に当たり、25日現在では一部不正アクセスのIPアドレスが特定されるなど、不正アクセスの経路、原因等の解明が進んだとした。ただし、具体的な原因については、他のサイトへの攻撃につながりかねず、警察の捜査にも支障をきたすおそれがあるとして、一切の公表を避けた。
警察の捜査については、警視庁ハイテク犯罪対策センターおよび警視庁富坂署に対して、追跡調査によって判明した不正アクセスの元となるIPアドレス、その他のログ解析情報を提供。サーバーを現物証拠として提出し、今後も全面的に捜査に協力していくとした。
具体的な攻撃の内容や脆弱性の種類などについて公表しなかったため、会見では「攻撃を受けた原因は製品の脆弱性にあったのか、運用面での問題にあったのか」「再開にあたってはどのようなシステムに変更したのか」「海外からの攻撃だったのか」「攻撃はSQLインジェクションによるものだとの一部報道もあるが、それは事実か」といった質問が相次いだが、「具体的な内容についての公表は避けたい」とする回答を繰り返した。
また、具体的な攻撃の内容などを公表しないという判断については「警察からの要請と自社の判断の両方である」として、「今後の警察の捜査状況などによっては情報を公開することも考えているか」という質問には「今後もその予定はない」とした。
カカクコムの開発運用体制については、「全く問題が無かったとは言えないと考えている」としながらも、「今回の原因はカカクコム側の重過失または過失に近いものであったのか」という質問に対しては「そのようなものではなかったと考えている」と回答。「これまでのセキュリティ対策については、必要とされるセキュリティパッチの適用や、外部のセキュリティコンサルタントによる調査などできる限りの対策はしていたが、結果として最高の対策とは呼べない部分があったように思う」と述べた。
また、「今後同様な事件が起きた場合に、事件の詳細については公表できないが自社には過失はないと考えている、といった対応で済ませようとする悪しき前例になってしまうのではないか」という質問に対しては、「今回の不正アクセスについては情報処理推進機構(IPA)に事態の報告を行なっており、IPAの側で今後の類似犯罪の防止につながると判断したものについては積極的に内容を公開していくと伺っている。直接的ではないにしても、こうした形で尽力していきたい」とした。今後、他社から情報提供を要請された場合については、秘密保持契約を結んだ上で開示することを明らかにした。
● メールアドレス流出についての補償はせず被害サポートで対応
ウイルス被害については、ユーザーからの問い合わせが24日現在で合計1,333件寄せられ、対策としてはセキュリティソフトベンダー各社の情報提供に基づくウイルス駆除ツールを継続的に提供するほか、ウイルス被害問い合わせ窓口を設置し、ウイルス駆除のサポートを行なっていくとした。また、メールアドレスの詐取については、該当するユーザーに対して24日に個別にメールで案内を行ない、今後はスパム対策サポートサイトの立ち上げなどによりユーザーが対策を取りやすいようにサポートしていくことを明らかにした。
メールアドレス詐取に関する個別の補償については、「第三者の専門家を交えて法的責任等を踏まえた協議・検討を行なったが、他の案件で問題となったような内部理由による情報流出事件とは異なり、今回は悪意の第三者からのハッキングによる情報詐取事件である」として、個別の補償は行なわず被害サポートを行なうことで対応するとした。また、価格情報を提供している店舗への補償については、個別に対応を行なうという。
サイトの再開にあたっては、OSの再インストールやソフトウェアの全面見直し・強化を行なうと同時に、システムの監視環境の一新などを実行したと説明。価格.comのサイトは24日の21時45分ごろに再開したが、現時点でも一部のサービスは再開されていない。これらのサービスの再開時期については、「セキュリティのチェックを行ない、安全の確保を最優先してから再開したい」として、具体的な時期についての言明は避けた。
今後の対策については、セキュリティ対策委員会の外部委員として、デジタルガレージ共同創業者顧問の伊藤穣一氏、ビー・ユー・ジー代表取締役COOの川島昭彦氏、ラック代表取締役の三輪信雄氏などを招聘。さらにセキュリティ企業数社との協力により、セキュリティ対策の向上を図っていくとした。
今回の事件についてカカクコムの穐田誉輝社長は、「セキュリティ対策に100%ということはありえず、対策に終わりはないということを再認識した」として、「今後はセキュリティを出来る限り高めていき、他企業の手本となれるような企業を目指していく」と決意を語った。
関連情報
■URL
価格.com
http://www.kakaku.com/
■関連記事
・ 価格.comの一部サービスが再開、完全復旧に向け「順次再開」する予定(2005/05/24)
・ 価格.com、24日に一部サービスを再開~メールアドレスの流出は22,511件(2005/05/23)
・ 不正アクセス事件受け「今期予想は1カ月後に開示」~カカクコム決算(2005/05/18)
・ 「ソフト、ハード、運用の全てを刷新」価格.com、23日をめどに復旧(2005/05/16)
・ 価格.comが一時閉鎖、不正アクセスでトロイの木馬を仕込まれる(2005/05/16)
( 三柳英樹 )
2005/05/25 22:02
- ページの先頭へ-
|