ネタが欲しいと思ったら

ちゃんとやってくるのはどうなんだろうと思う。昔からだけどさ。

■ [ネット] サウンドハウスの情報流出 俺のデータも流出か！？

楽画喜堂 さんのところで、サウンドハウスで情報流出 って記事を見て、俺も買い物した記憶があると思って調べたら案の定、2007年2月に会員登録・カードで商品発注してたよ・・・。orz

今日になってメールも届いたし(上記リンク先の4月5日と同内容。たぶん会員全員に送ってるんだろう)、KDDIに続き2回目の情報流出(今度はカード情報含む) という事態になる可能性が出てきたわけですが。

で、流出した情報の範囲はというと、

1. 流出した情報について

現在の段階で、流出した可能性のある情報をご報告いたします。

　・お名前　　・フリガナ　　・性別　　・生年月日

　・弊社サイト ログイン用メールアドレス

　・弊社サイト ログイン用パスワード

　・クレジットカード情報（会社名・カード番号・有効期限・ご名義）

※クレジットカード決済時の3Dセキュアサービス（本人認証サービス）でご入力いただくクレジットカードのパスワードにつきましては、データを保持していない為、流出の危険はありません。またご住所、お電話番号に関しては、調査の結果、流出の形跡はございませんでした。

こんな感じらしい。そりゃあ3Dセキュアなどの個人認証は外部にリダイレクトしてるんだから、流出はしないよな。もちろんそれを知らない人もいるだろうから、それについても触れている姿勢には好感は持てるけど。

正直思ったのは、なぜカード情報まで流出したかという点。アマゾンみたいに自分でカードを登録できる訳でもないのに流出したということは、決済で使ったカード情報を履歴として保存してたって事だろう。(決済ごと入力ではなく、使ったカード番号を保存しておいて入力を楽にするシステムだったかもしれないが、すでに失念)

この辺りは、手間になるけど毎回入力させて決済する期間だけ保持、それ以降は削除というシステムを採っているサイトが多いと思うのだが(俺が使ってるネットショップの多くはそれ)、一般的にはずっとカード番号を履歴として残しておくってサイトの方が多数派なんだろうか。

まあアマゾンとか楽天もそうだし、結構そういうところも多いんだろう。ただこういうクリティカルな情報は外部からアクセスできないサーバーに保存し、セキュアなゲートウェイを通して外部から参照するってのが一般的だと思うけど(ネットバンクとかね)、サウンドハウスではどうなってたんだろうか。この報告を読む限り、どうも一つのデータベースサーバーで管理してたっぽい雰囲気が漂っているけれど。(下記引用を参照)

そして侵入ルートはSQLインジェクション。だいたいこの手の事例ではお約束ですが、今回もやはりこれ。でもって侵入された時期は3月11日?22日の間。確かにSQLインジェクション攻撃が増えているとセキュリティニュースサイトでも報じられてた時期なので、多分これは間違いないだろう。

ただ、実施した対策についてなんだが・・・。

2. セキュリティ対策について

今回の不正アクセスを受け、弊社では、ユーザーの皆様により安全にご利用いただけるよう、セキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚直後より取り組み、すべて完了しております。

　・弊社データベースから全てのカード情報を削除。

　・ファイヤーウォールの強化を行い不正侵入対策を強化。

　・不正侵入監視機器を導入し24時間体制で監視。

　・全てのウェブプログラムの見直しを行いセキュリティを強化。

　・ウェブサーバー上に存在した不審なプログラムの削除。

　・システム構成の見直し。

　・社内管理体制を見直し、セキュリティ管理・対策委員会を設置

サーバーOSの再インストールはしてないんだね。まあファイアーウォール強化とか、ウェブプログラムの修正とか、不審なプログラム削除とかはしてるみたいだけど、Rootkitとかトロイは全て検出できてるんでしょうか。仮にトロイなんかがあったとしても、ファイアーウォールとか、新たに導入したという不正侵入監視機器(Deep Packet Inspection対応のセキュリティアプライアンスとかかな？) で防げるという目論見なんでしょうかね。

そして最後の一文。

また、重ねて申し上げますが、万が一、お客さまのカード情報が第三者に不正利用され被害が発生した場合につきましては、お客さまのご負担は一切発生しませんので、ご安心いただきますようお願い申し上げます。

これはカード会社が弁済するから当然なんだけど、自動的に負担が発生しないように読めるのはいかがなものか。基本、不審な請求があったと請求書を見て申告しない限り、引き落とされるハズなのだけど(カード会社によっては、明らかにおかしい請求の場合には確認が入る事もあるが)。

なので確かに費用負担は発生しないが、それは請求書を今後ずーっと毎回きちんとチェックし続け、あやしい請求があった場合は申告した時の話であって、何もせず放ったらかしにしててもOKという訳ではない。まずは安心してもらうためのニュースリリースということは理解できるが、正確に書かないと誤解されることもあるだろう。

ただ、今回のサウンドハウスの対応や情報のリリースは迅速でかつ細やかであり、その点に関しては評価できる。少なくとも、信頼できる対応であると感じた。ではまたここで買い物をするかと問われると、正直あまりする気にはなれないというのが本音ではあるが。

まとめ。

自分の場合、サウンドハウスで使ったカードは現在ほとんど使用していないため、被害がないか確認することも容易だし、カード番号を変更しても問題はないが、メインカードが流出した方にとっては大変面倒なことだろう。(情報流出はサウンドハウスに限った話ではないが)

現代社会では情報は流出することを前提として、個人のセキュリティ対策を行う必要があると、今回自分自身も巻き込まれることで改めて感じた。今後は使用カードを分散したり、クレジットカード以外の決済もミックスするなどして、対策を取りたいと思う。

余談だが、サウンドハウスはMcAfeeがやってるHACKER SAFEってサービスに加入しているらしいけど、情報流出したんだね(笑)。99％ハッカーによる攻撃を防ぐサービスらしいから、残りの1％に該当したのかな(笑)。SQLインジェクションのチェックもやってると、誇らしげにHACKER SAFEのサイトには書かれてるんだけどね。

定型のチェックと、15分ごとに更新される脆弱性データベースに則った攻撃パターンのテストでは発見できないほど、高度な攻撃をされたんだったら仕方ないけどさ(笑)。是非どんな攻撃をされて情報流出したのか聞いてみたいものです。

ま、↓ みたいな記事もあることだし、こういうものは安心感を演出するためのPRでしかないと思ってた方がいいんでしょうな。

Pマークは無意味？　取得企業の6割が情報漏えい – ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/0803/12/news057.html