アダルトサイトのDMから分かった顧客情報の漏えい原因萩原栄幸の情報セキュリティ相談室(2/3 ページ)

» 2013年06月28日 08時00分 公開
[萩原栄幸,ITmedia]

調査を進めてみると……

 A社はWebサイトに、お詫びと社内調査中の状況を述べた文章を掲載した。筆者がみたところ、漏えいした情報は、分類されていることからデジタルの情報であり、ラベル印刷にそのまま使える形式になっている可能性が高いと思われた。印刷する顧客を取捨選択できるツール、もしくはソフトウェアの形態になっているだろう判断した。

 A社では社内の顧客情報をデータで管理している。顧客の誕生日月には、「お誕生日クーポン券贈呈!」と題して、ハガキを持参した顧客に無料・割引クーポン券セットをプレゼントしていた。ハガキのラベル印刷は、顧客データとリンクさせて、印刷時に誕生月ごとに分類し、社内のプリンタで送付する2カ月前に行う。印刷は月に1度行い、そのラベルを専門業者が回収してハガキに貼り付け、送付していた。

 その担当者に聞くと、検索条件を誕生月でなく例えば、「年齢+アダルト利用歴有り+性別」にすることは造作もないという。筆者はデータファイルのアクセスログを解析することにした。本部のファイルサーバに「顧客マスター(印刷用)」フォルダがあり、これで上述の作業ができる。

 さらに聞いてみると、パターンが決まったラベル印刷において顧客番号だけを印刷しないようにするのは、印刷用ソフトの操作方法を習熟していないと難しいらしい。解析作業で分かったのは、データをフォルダごとコピーし、市販ツールからマスターに付属している「設定ファイル」さえ読み込めば、あとはキーワードだけを変更するだけでよいようだ。ラベルの印刷の内容自体を変更するには、最初に設定ファイル自体を作成することになる。そのため、手っ取り早い既存の「設定ファイル」を活用したに違いないとの結論に至った。

 A社の企業規模から察した通り、ログ解析はほとんどされていなかった。ただ辛うじて、顧客データベースのアクセスログは標準設定によって記録されており、解析するには十分であった。犯罪心理学の見地から、犯人はそれよりも以前からデータを取得してそれほど長く寝かすことはないと考えられ、まずはDMが送付された前後の3カ月をターゲットにした。

 その結果、とても変なことが分かったのである。ある日の深夜午前2時頃に、該当のデータベースへのアクセスが見つかった。これはおかしい。A社では期末の2日ほどに「午前様」となるくらいの残業が行われてはいるものの、それ以外では午後10時台に全社員が帰宅しており、社内には誰もいない。この日の勤務表と突き合せても、「誰もいない」時間帯だった。筆者は経験則から、1つの回答の手がかりを得ることができた。

 A社は自社ビルを持っているので、当然ながら警備会社と契約し、深夜には警備員が社内巡回をしている。その巡回のタイミングの1つが「午前2時」だった。当日の巡回日誌に「不審者はいない」とあり、そういう可能性を示唆する現象もなかった。

 それでは犯人は誰か――。そう、巡回した警備員しかいないのだ。経費節約の時節柄、警備費も削減対象となり、数年前から巡回員を1人にしていた。九州では中堅というこの警備会社に、水面下でこの日に巡回を担当した警備員M氏の追跡調査を依頼した。その結果、「こんな人に警備をさせるなんて有り得ない!」というほどの状況が判明した。

 M氏は、上場している大手の警備会社ならまず採用していないであろう「ギャンブル狂」だったのである。調査した結果、サラ金に手を出していた形跡も分かった。だが、そのほとんどが返済されており、残りは100万円にも満たないという。その後も同僚などの証言や不審な行動など状況証拠がそろい、M氏が犯人とみて、ほぼ間違いなかった。あとは、流出した情報の破棄と再発防止策の策定であった。

 その後、警備員M氏の自供から、A社以外にも数社で犯行に及んでおり、借金の返済にあてていたことが分かった。だが、どの会社も情報が漏えいされたという事実を知らなかったという。本件ではたまたまその顧客情報を購入したL興業が、そのままラベル作成ができるデータであることを悪用し、条件だけを変更してラベルを作成していたことも明らかになった。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ