水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WASForum Conference 2008: カカクコム「不正アクセス事件から学んだ事」

WASForum Conference 2008: カカクコム「不正アクセス事件から学んだ事」

2008年7月4日(金曜日)

WASForum Conference 2008: カカクコム「不正アクセス事件から学んだ事」

WASForum Conference 2008 (wasforum.jp)に行ってきました。印象に残った話を中心に、とりとめなくメモしておきます。

まずは1日目、「不正アクセス事件から学んだ事」について。2005年に不正アクセスでサイト閉鎖となったカカクコム (kakaku.com)の、安田さんのお話です。

事件の経緯

まず事件の経緯の話などが出ますが、まあそれはさんざん出ているので割愛します。細かい部分で興味深い話が2点ほど。

  • 改竄を把握したのは水曜。改竄部分を戻したら問題なかったようなので運営を継続したが、その後も断続的に改竄と修正を繰り返した。土曜の夕方に一旦サーバを停止。その後再開するも、土曜の夜になって改竄の頻度が非常に高くなり、改修での対応は無理だと判断して閉鎖に至った。
  • 「どのくらいで復旧できるのか?」と社長に詰め寄られ、「一週間くらい」と返答 (実際には10日間の閉鎖)。
サイト閉鎖後のシステム対応

サイト閉鎖後のシステム系の対応について。

  • OS、ソフトウェアの全再インストール。LACの人から、「ひそかにバックドアが残されているかもしれないので必須」というようなことを言われて実施。100~150台ほどあるサーバすべてについて、地道にCDからインストールを実施。2交代制 (朝10時と夜10時に人員入れ替え) でひたすら作業。しかし、これが完了してもすぐには動作してくれず、色々調整が必要だった。
  • お店の人に値段を入れてもらう必要があるため、先にショップ側管理画面を再開。このとき負荷が高くなったりして色々あった模様。
  • プログラムの見直し・強化を実施。OS、ネットワークレベルでのスキャンなどを実施。全体で約9000ものプログラムが存在しており、10日間で全体をチェックすることができなかったため、まずは価格比較部分のみ復旧。他は随時、3ヶ月ほどかけて復旧。
  • ログを再確認したところ、3ヶ月~半年ほど前から予兆的なアクセスの痕跡があったことが判明。ちゃんと監視していればもっと早くに気づいていただろうということで、監視を強化。
  • メールアドレスが個人情報なのかどうかは色々面倒な議論があるが、ともあれメールアドレス以上のクラスの情報は暗号化してから保存、というルールをつくって徹底。
社内の対応

社内の仕組みとして、以下のようなことを実施。

  • 社長直属の情報セキュリティ室を設置
  • セキュリティ委員会による外部の有識者との会議
  • 社員への教育 (ガイアの夜明けDVDを社員教育に使用)
  • 連絡網の整備、随時アップデートが必要。何かあったとき、判断を誰が下すのかを決めておかなければならない

ここで一番印象深かったのは、「セキュリティを第一とした企業文化の構築」という言葉。企業文化の改革が必要だったと。

対外的な対応

その他、対外的な対応。

  • 当然ながら、ユーザへの対応が発生。コンテンツチームを中心に、電話・メールへ返答。
  • 警察への報告は苦労したとのこと。所轄と警視庁のサイバーチーム両方の協力を得たりしながら進めるが、事件性があるかどうかは被害者側が実証しなければならないと言われた。アクセス制御機能があったことを証明しなければ不正アクセス事件として立件できない。警察にはWebサーバとDBサーバを引き渡したり、ネットワーク図なども渡したり。
  • 経済産業省にも報告。「何で対策していなかったのだ」という主旨のことを厳しく言われ、もっとも厳しかった。:-)
  • 株式市場への対応も行う必要があった。カカクコムはWebサイトが事業の全てなので、サイト閉鎖はすなわち商売をしていないということで、事業継続性が疑われることになる。再開が延びれば延びるほど厳しくなる。
  • ショップへの対応。カカクコムに完全依存したショップが多く、「いつになったらオープンするのか」という問い合わせが多数あった。秋葉原のショップをまわりながら説明したり、暫定的に店へのリンク集をつくって対応したり。

※実際には「アクセス制御機能」ではなく「アクセス権限」と仰っていましたが、文脈からして、不正アクセス禁止法第2条3項で定義されている「アクセス制御機能」の事と思われます。

総論
  • 「セキュリティ事故は、企業にとって致命的である」ということ。メールアドレス流出による被害問い合わせは事件から1年半ほど続き、謝り続けた。そのメールアドレスが本当にカカクコムから盗まれたのかどうかは分かりませんが、そうでないという証明もできないので、謝るしかない。
  • 「セキュリティを守るのは技術と文化」。まず技術、たゆまぬ技術力の向上が必要、技術的な部分が大きい、技術負けしないように。ただし、技術があっても運用されなければ腐ってしまうので、マネージメント、会社としての取り組みも必要。優先度で言うと、1に技術、2に文化で、技術のほうが重要。
質問

質問の時間。情報公開しなかったことについてどう思っているのか訊きたかったのですが、武田さん (motivate.jp)がズバリの質問をしてくださいました。

で、回答ですが、「当時はそれで良かったと思っている」とのこと。ちなみに、例の「NDAを結んで情報開示」という話は20社くらい来て契約を結んだそうです。さらに、「今度あったらどうか」という質問をされましたが、それについては「インパクトや責任によって変わっていく」という、当たり障りのないご回答でした。

それから、セキュリティ投資はどのくらいしているのか、という質問が出ましたが、「カカクコムの場合は売上げの数%だが、必要なものを積み上げて行くだけ」というお話でした。

感想

最後に私の感想を。

後半で「技術」を強調されたのが印象的でした。元々Webで営業している企業だからだということもあるのでしょうが、後に話されたサウンドハウスの中島社長とは対照的です。カカクコムの人たちは「SQLインジェクション」というものが何なのか理解していて、何が必要なのかも分かっているという印象でした。

情報公開に関しては、会社の公式見解としては「正しかった」と言うしかないと思うのですが、中の人の心境としては複雑なのかもしれないなぁ、と深読みしております。

カカクコムのお話は以上。次は最高に面白かったサウンドハウスの中島社長のお話ですが、ここに続けると長くなりすぎてしまうので、別途書こうと思います。というわけで続きます……WASForum Conference 2008: サウンドハウス「Web攻撃の脅威に立ち向かうには」

関連する話題: セキュリティ / サウンドハウス / 価格.com / WASForum Conference

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト