セキュリティの
学び場

今回の解説ニュース

Web解析のために委託先へ提供したデータに、意図せず個人情報が含まれていたということです。管理系の機能に対するセキュリティや、委託先へデータを提供する際に気を付けるべきポイントについて説明します。

今回のインシデントは、Web解析を目的に委託先へ提供したデータにIDとパスワードが含まれていたことが発覚し、追加で調査を進めていたところ、複数の委託先へ提供したデータログに、顧客の個人情報が含まれていることが判明したということです。

誤って提供した情報は、メールアドレス、銀行口座関連情報、カード暗証番号などで、被害者に対してはカードの再発行による暗証番号の変更を案内しているようです。また、現在のところ情報が外部へ二次流出した形跡はなく、不正利用等は確認されていないということです。

発生原因としては、各ページのURLのみを委託先へ提供するべきところ、一定条件下でメールアドレスや入力情報などが含まれてしまう設定になっていたようです。また、現時点では原因特定に至っていない事案もあり、今後の調査内容も踏まえて有効な再発防止策を立てるということです。

不要と思われがち？管理系機能へのセキュリティ対策

管理系の機能でもセキュリティ対策は必要です。理由は、攻撃者は公開されている機能などを経由して管理系の機能を攻撃することができる場合があるからです。具体的に例を挙げて説明します。

今回のWeb解析や、ECサイトの受注管理など、管理系の機能は一部の関係者しか使わないため、セキュリティ対策が不要と思われがちです。しかし、管理系の機能に脆弱性があった場合、攻撃者は公開されている機能やメールなどを経由して攻撃をすることが可能な場合があります。

具体的には、ECサイトの管理画面にXSSの脆弱性があったとします。XSSとは、クロスサイトスクリプティングの略で、Webアプリケーションの脆弱性です。ユーザが入力した文字列が表示される際に、そのままスクリプトとして実行されてしまうことで被害が発生します。例えば、受注管理の画面にXSSの脆弱性がある場合、攻撃者は発注内容にスクリプトを埋め込んで、被害者が受注管理の画面で攻撃者の発注内容を表示した際に、攻撃のスクリプトが実行されるようにすることができる場合があります。攻撃者が受注管理の画面にアクセスすることができなくても、被害者を攻撃することが可能ということになります。

また、CSRFの脆弱性があった場合、罠のリンクが入ったメールやSNSなどを経由して、意図しない操作を強制することができる場合があります。CSRFとは、クロスサイトリクエストフォージェリの略で、Webアプリケーションの脆弱性です。攻撃者が用意したリクエストの処理が、被害者に割り当てられている権限によって実行されてしまうことで被害が発生します。例えば、ユーザ削除の処理にCSRFの脆弱性がある場合、攻撃者はフィッシングメールなどでリクエストが発行されるリンクを被害者へ送り、被害者がリンクをクリックした際に、ユーザが削除されてしまう場合があります。こちらも、攻撃者がユーザ削除の権限を持っていなくても、被害者を攻撃することが可能ということになります。

再発防止には適切な委託先の管理が必要

今回のインシデントの再発防止策として、適切な委託先の管理が必要です。情報セキュリティマネジメントシステムのISMSから引用して説明します。

ISMS国際規格でも定められる「供給者」との関係

ISMSの国際規格であるISO 27001では「供給者関係」についての要求事項があります。ここでの供給者とは、業務委託をしている企業やクラウドを含む、外部委託先を意味しています。外部委託先が自社の情報資産にアクセスする場合、適切に保護するようセキュリティの要求事項を具体的に定めて合意する必要があります。その際に、セキュリティ対策が十分であるか判断するため、委託先がアクセスできる情報資産を洗い出します。

「供給者」の管理を行う事で変化に気付ける可能性

ここで、合意された内容と異なる情報資産にアクセスできる場合、要求事項も変化することで双方で気が付くことができるかもしれません。今回のインシデントでも「業務委託先等へ提供するデータを確認する体制が十分でなかった」とされていますので、委託先の管理が十分ではなかった可能性があります。

サプライチェーンリスクの問題でも言われていることですが、自社だけのセキュリティ対策では情報資産を十分に保護できません。外部委託先や関連企業も含めて、全員参加のセキュリティを社会全体で目指していきましょう。