情報漏洩を半年後に公表 「スイパラ」に批判の声 どこで対応を誤ったのか：サイバーセキュリティのプロに聞く（1/3 ページ）

[濱川太一，ITmedia]

　ケーキ中心のバイキング式飲食店「スイーツパラダイス」の情報漏洩（ろうえい）に、利用客から批判の声が上がっている。運営元の井上商事（大阪市北区）は6月7日、同社通販サイトが第三者から不正アクセスを受け、顧客約7400人分のクレジットカード情報が流出した可能性があると発表。2021年末に情報漏洩の疑いを把握していたが、確認に時間を要し、約半年後の公表となった。

　同社はどのような不正アクセスを受けたのか。そして、なぜ公表が遅れたのか。事後対応のどこがまずかったのか。企業のリスクマネジメントを専門とする日本レジリエンス（東京都豊島区）代表の須田亨妃（すだ・ゆきひ）氏に解説してもらった。

不正アクセスを受け半年後に公表したスイーツパラダイスに批判が集まっている（画像はイメージ、ゲッティイメージズ）

　井上商事の発表によると、漏洩の可能性が判明したのは、21年8月28日〜12月8日に同社通販サイト「スイーツパラダイス　オンラインショップ」を利用した7409人分のクレジットカードの名義人・番号・有効期限・セキュリティコード。カード情報一式が抜き取られていることにSNSでは驚きの声が広がった。利用客とみられる投稿者から、カードを悪用されたとの被害報告も相次いでいる。

サイトを改ざんし侵入

　今回の不正アクセスはどのような手口で行われたのか。日本レジリエンス代表の須田亨妃氏はこう説明する。

　「通販サイトを構成するアプリやツール、ミドルウェアの脆弱性を悪用して、侵入、あるいはリモートからのコマンド操作で、サイト内にある支払い処理を行うアプリケーションを改ざんし、クレジットカード情報を含めた利用者情報を犯罪者の指定する場所に送信させていたものと推測される」

脆弱性を悪用してサイトに侵入。支払い処理アプリケーションを改ざんされたとみられる（画像はイメージ、ゲッティイメージズ）

　こうしたサイトの改ざんは、不正アクセスのよくある手口だという。

　5月24日、和菓子製造の宗家源吉兆庵（そうけみなもときっちょうあん・岡山市北区）が、オンラインショップの不正アクセスを受け、顧客のクレジットカード情報1万4000件超が漏洩した可能性があると発表。カードの名義人、番号、有効期限、セキュリティコードが盗まれ、スイーツパラダイスと被害の内容が似ていることから「同一犯の可能性もある」と須田氏は指摘する。

「立派な家を建てるがセコムを入れていない状態」

　サイトの改ざんはなぜ起こるのか。須田氏は、Webサイトを保護するセキュリティ対策が導入されていないのが原因だと指摘する。

　「サイバー攻撃からWebサイトを保護する『WAF（ワフ）』という防御ツールがあるが、導入している日本企業は、まだ20％未満というデータも存在する。こうした対策を取っていなかったのが今回の不正アクセスの原因」だと須田氏は話す。

Webサイト保護ツール「WAF（ワフ）」を導入する日本企業は20％未満とのデータもある（画像はイメージ、ゲッティイメージズ）

　EC（電子商取引）サイトなどのWebサイトは作成するものの、セキュリティ対策は疎かになっている事業者が多く、分かりやすく例えると「立派な家を建てるがセコムを入れていない状態」（須田氏）がよく見られるという。