「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず
不正アクセスを受けて10日間閉鎖していた「価格.com」。不正アクセスの手口や、まるごと更新したというシステムの構成については一切明らかにしなかった。
「当社に過失はなかったが、詳細は明らかにできない」――カカクコムの穐田誉輝社長は5月25日、サイト再開後初めて会見を開いた。「価格.com」を一時閉鎖に追い込んだ不正アクセスの手口や、同社のセキュリティ対策の詳細などは「類似犯を防ぎ、捜査に協力するため」(穐田社長)として一切明かさなかった。記者からは「ある程度情報を開示してもらわないと、他社も対策を取りようがない」などと不満の声が漏れた。
「今回の件は、過失や重過失に類するものではない」――穐田社長は、同社のセキュリティ対策は問題がなかったと強調した。「OSのパッチはあてており、外部のセキュリティコンサルタントも入れるなど、できる限りの対策をしていた。しかし結果として“最高の対策”とは呼べない部分はあったと思う」(穐田社長)
不正アクセスの手口は「判明している」(穐田社長)としながらも「類似犯罪のヒントとなる情報は出したくない」と、詳細は明かさなかった。SQLインジェクションによるものだったする一部報道については「私どもから発表した事実ではない」(穐田社長)と、肯定も否定もしなかった。
「脆弱性は、カカクコム独自のアプリケーション部分にあったのか、それとも、他社も使っているような基幹のシステムにあったのか」という質問に対しては「他社について言及する立場にない」(穐田社長)と返答。記者が「同様の問題が他社にありうるかどうかが知りたい」と食い下がると「広い意味で言えば、こういう事態はどの会社にもあり得るだろう」とぼかした。
不正アクセス対策を知りたい企業は、同社に直接問い合わせれば、秘密保持契約を結んだ上で詳細を話すという。また、同社から報告を受けた情報処理推進機構(IPA)からも情報開示が行われるとした。
同社は今回、OSの再インストール、ソフトウェアの全面見直し・強化を実施したというが、新システムの詳細は「言えない」(穐田社長)。
メールアドレス流出の補償はせず
価格.com経由でウイルスに感染したユーザー数は「分からない」(穐田社長)。ユーザーからの問い合わせ件数は1333件。当初は約8割がウイルスに関する問い合わせだったが、日が経つにつれてサイト再開に関する問い合わせが増えたという。
流出したメールアドレス2万2511件の持ち主への補償は行わない。「自社内部の問題による情報流出ではなく、悪意の第三者からのハッキングによる情報詐取のため」(穐田社長)。代わりに、同社サイト上に被害サポートページを作成する予定。スパムメール対策などに関する情報を掲載し、メールなどで問い合わせを受け付ける。
出店店舗に対する補償は「個別相談で対応する」(穐田社長)。各店舗からは、不満や怒りの声よりは「大変ですね、頑張って欲しい」との激励が多かったという。「明日は我が身と思っていらっしゃるようだ」(穐田社長)。昨夜のサービス再開以降は「わりと順調なペースでユーザーは戻っている」(穐田社長)
穐田社長は今回の件を「言い方は悪いかも知れないが、地震にあったようなもの」と例える。「地震に本当に危機意識を持っているのは、被害にあった人だろう」(穐田社長)
同社は、警視庁「総合セキュリティ会議」の委員を務める伊藤穣一ネオテニー社長など専門家3人からなるセキュリティ対策委員会も設置し、ラックに技術支援をあおぐなど体制を強化。セキュリティ専門要員も雇用する予定だ。「セキュリティ対策に100%はないと痛感した。技術も日々進化する。対策に終わりはない」(穐田社長)
関連記事
- 価格.comが10日ぶりに再開
- カカクコム、24日にサイト再開 メールアドレス2万2500件流出が判明
- カカクコム、23日めどに再開へ
- 「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明
価格.comが不正侵入を受けて一時閉鎖された問題で、運営元はシステムをまるごと入れ替えてセキュリティを強化し、1週間後をめどに再開する方針だ。 - 価格.com経由で拡散したウイルス、Windowsの既知の脆弱性を悪用
価格.comへの不正アクセスの詳細は不明だが、結果としてばら撒かれたウイルス自体は、既知のWindowsの脆弱性を悪用するもの。パッチを適用していればリスクは下げられる。 - 価格.comが不正アクセスで閉鎖 ユーザーにウイルス感染のおそれも
価格.comが不正アクセスを受け、14日から閉鎖している。サイトを媒介にウイルスがばらまかれており、ユーザーは感染した可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.