サイバー攻撃拡大/史上最大規模の被害が発生/通販サイトでも情報流出

 ウェブサイトに対するサイバー攻撃が3月以降、会員制の通販サイトや支払いサイトで多発している。「史上最大規模」と専門家が言う被害拡大に対して、経済産業省が3月29日に注意喚起を行う事態にまで発展している。主たる原因となったのは、多くのウェブサイトが共通して利用する、サイト制作用のソフトウェアの欠陥だ。ソフトウェアメーカーがぜい弱性を発表した途端に、ぜい弱性への対応が遅れたウェブサイトがサイバー攻撃の格好の「カモ」になってしまった。ウェブサイトで個人情報やカード情報を取り扱う事業者は、今回の大規模被害を受けて、情報漏えいリスクに対する、さらに入念な対応が迫られている。


■数百のサイトで情報流出も

 経済産業省は3月29日、170の業界団体に対して、サイバー攻撃と情報保護について注意喚起する文章を送付した。「サイバー攻撃の件数が増加し、その影響は深刻化している」と警告した上で、各業界団体から会員企業に対し、セキュリティーに関する啓発と情報提供を行うよう求めている。
 経済産業省が注意喚起を行った背景には、3月9日以降に発生した大規模サイバー攻撃がある。日本郵便や都税支払いサイト、沖縄電力などが相次ぎ被害を発表。通販業界でも、ジンズ(本社東京都、田中仁社長)の眼鏡ECサイトで会員情報の流出が起きている。
 ジンズのECサイトでは、サイバー攻撃の影響を受け、3月18日から22日にかけて、会員の個人情報に外部からアクセスできる状態になっていたという。流出した可能性のある情報は、メールアドレスと氏名・住所などのセットが73万9745件、メールアドレスのみの情報が43万8610件。同社はカード情報を自社で保有しないシステムを導入していたため、カード番号やセキュリティーコードなどの流出は起きなかったとしている。
 都税支払いサイトと、NPO住宅金融支援機構の保険料支払いサイトの運営を代行していた決済代行大手のGMOペイメントゲートウェイは3月10日、情報流出についての謝罪文を発表。都税支払いサイトでは約67万件、住宅金融支援機構からは約4万件のクレジット情報が流出したと発表した。
 GMOペイメントゲートウェイが立ち上げた再発防止委員会の委員でもある、社会情報大学院大学の白井邦芳教授は、「被害を発表していない企業がまだ相当数あるだろう。日本だけでも数百件の被害が発生した可能性がある」と話す。今回のサイバー攻撃は「かつてない大規模な攻撃であり、狡猾な手口」だった。そのため、企業は不正アクセスがあったことすら分かってないケースが多い。だからこそ白井教授は、情報流出の有無が確認できず、公表されていない不正アクセス被害も多いだろうと推測している。

■注意喚起が攻撃の端緒に

 今回の大規模なサイバー攻撃は全て、同じソフトウェアを使って製作されたウェブサイトで発生した。攻撃者のターゲットにされたのは「Apache Struts(アパッチストラッツ)2」という世界的に利用される無料ソフトだ。
 今回見つかったソフトウェアのぜい弱性とは、ウェブサイトを動かすサーバーに対して、ある特定の情報が送られてきたとき、サーバーが、意図せぬ動作をしてしまうという欠陥だった。攻撃者はこの「特定の情報」をサイトに送り付け、いわば「バグ」を起こし、ウェブサイトの改ざんをしたり、サーバー内の会員情報にアクセスしたりしていた。
 皮肉にも、「アパッチストラッツ2」のメーカーが、自社製品のぜい弱性を発表したことが、サイバー攻撃の引き金となってしまった。ソフトウェアに、不正アクセスを受ける可能性があるぜい弱性が見つかった場合、メーカーはソフトウェアの更新を呼び掛けるため、ぜい弱性の情報を公表する。公表されたぜい弱性は一方で、攻撃者にとっても格好のターゲットといえる。今回のケースでは、ソフトウェアの更新が遅れた企業が狙い撃ちにされた格好だ。このようなサイバー攻撃を「ゼロデー攻撃」と呼ぶ。

(続きは、「日本流通産業新聞」4月13日号で)

記事は取材・執筆時の情報で、現在は異なる場合があります。

Page Topへ