こんにちは、穂苅智哉と申します。
前回は、私たちの個人情報を守るためのログイン情報管理について見てきました。SNSや会員系のサイトなど、常に私たちは複数のログイン情報を扱っています。しかし、それがためにログイン情報の管理が甘くなっている人も多いのではないでしょうか。ログイン情報が盗まれる手法とその対策について、興味がある方はぜひご覧ください。
今回は、実際に発生した顧客情報漏えいの事例を見ていきます。大きな被害が記録された事件でしたので、どういう状況でどういう被害があったのか、どのような対応をしていたのか、押さえておくと良いと思います。
個人情報9万人相当が流出した可能性のある事件とは?
福井県に拠点を構える、老舗味噌メーカーのマルカワみそが2024年4月2日に「不正アクセスと個人情報漏えいに関するお詫びとお知らせ」を公開しました。
内容としては、自社で運営するECサイト( https://marukawamiso.com/ )に対して、第3者からの不正アクセスがあり、顧客のクレジットカード情報5447件、個人情報8万9673人分が漏洩した可能性があるというものです。
引用: https://marukawamiso.com/news/20240402.html
調査の結果、今回の原因としてはシステムの脆弱性をついた第3者からの不正アクセスで、ペイメントアプリケーションが改ざんされてしまったことだとされています。
個人情報流出の問題点
脆弱性に対する対策が十分だったのか、という疑問が外部から出てくるのは当然ですが、約9万人分もの登録者の個人情報が外部に漏洩したというのはとても恐ろしいことです。更に、クレジットカード情報の漏えいに関しては、実際に不正利用をされた可能性があるところまで被害が分かっています。
現在マルカワみそでは、漏えいの可能性がある顧客に対してはメールや書面での連絡を行い、更にクレジットカードの不正利用等の実被害を防ぐためにクレジットカード会社や調査を行った会社等と連携を取って対応を行っています。発表までの対応として、この漏えいをマルカワみそが認識したのが2023年11月6日ということなので発表までに約半年が経過していることは賛否両論になると思いますが、現在でも相談窓口の設置や対応を行っている状況ですので、被害者ではあるものの対応にかかっているコストは大きいものであると推測できます。
このように、セキュリティの問題で情報漏えいが発生してしまった場合、信用問題になるのは当然のこと、対策や対応において多大なコストが発生してしまうため、事前に防ぐというのがいかに重要なのかがわかります。
今回の事案から、私たちが気をつけるべきこと
今回の事案から、特にお客様の情報を預かるECサイトや会員サイトでは最大限のセキュリティ対策をしておく必要があることがわかります。
マルカワみそ公式サイトでは、被害があるまでは脆弱性は存在していない認識で運営していたところ被害に遭い、調べたところ一部のシステムに脆弱性があったことが判明したということです。
正しい知識と対策を取ること、また万が一被害が発生した際の対応手順を組んでおくことが企業としての責任であると言えます。
セキュリティ知識を詳しく知りたい場合は、徳丸本と徳丸試験がおすすめ
セキュリティの問題はサイトやサービス運営側も利用側も必要な知識です。
そんな、Webセキュリティ関連の知識については、徳丸本を学ぶとよいです。得丸本は、Webセキュリティに関する基本知識が網羅されています。セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。
そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、ぜひチャレンジしてみてください。
【徳丸本】
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
【徳丸試験】
