セキュリティの
学び場

今回の解説ニュース

店舗がつながるネットワークに不正アクセスがあり、決済を一時停止する状態になったということです。ECサイトではない、リアルな店舗のネットワークにおけるセキュリティで気を付けるべきポイントについて説明します。

今回のインシデントは、ネットワークに不正アクセスがあり、システム障害が発生したということです。インシデントの原因については現時点で公表されておらず、犯罪者集団の増長を招くことを考慮し、情報開示は最低限にとどめるということです。

対策として、被害拡大を防ぐために店舗でのキャッシュレス決済を一時的に停止しています。また、捜査機関と連携し調査を行っているということです。

業務に特化したセキュリティ対策はペネトレーションテストが有効

業務に特化したセキュリティ対策を実施するためには、脅威ベースのペネトレーションテストが有効です。今回のインシデントは詳細について公開されていませんので、あくまでも一般論として説明します。

ペネトレーションテストとは、システムの脆弱性を特定し、実際に侵入して影響の範囲を特定するテスト手法です。守るべき情報資産に対して攻撃者がどのように侵入を試みるか、具体的にシナリオを設計してから、実際に侵入できるかテストを実行します。

例えば、皆さんがお使いのスマートフォンに対してセキュリティ対策をするとします。画面ロックをかけ、OSも最新のバージョンを使っているならば、スマートフォン単体のセキュリティをチェックしても脆弱性は発見されないかもしれません。ただし、スマートフォン単体に対するセキュリティではなく、Aさんが持ち歩いているスマートフォンのセキュリティとして具体的に考えてみましょう。Aさんは土日に喫茶店に行く習慣があったとします。そして、Aさんのスマートフォンが脅威にさらされるシナリオを考えます。

まず、Aさんがいつも行く喫茶店で座る場所が決まっていたとします。そうすると、その横の席に攻撃者が常に座っていれば、Aさんが画面ロックを解除する際に使っているパスワードを覗き見ることができるかもしれません。仮に、そのパスワードがAさんのツイッターでも使われていた場合、Aさんのスマートフォンを踏み台にして、ツイッターのアカウントが乗っ取られてしまうことになってしまいます。

このように、システム単体でセキュリティのチェックをしたとしても可視化できない脆弱性が、脅威シナリオをベースとしたペネトレーションテストではリスクを顕在化できる場合があります。具体的には、対象となる情報資産を特定して業務全体を理解し、具体的な脅威シナリオを構築した上でペネトレーションテストを実施します。仮に、店舗の決済システムに直接侵入できなくても、社内のパソコンをマルウェアに感染させることで、業務が停止に追い込まれてしまうインシデントが発生する可能性があるかもしれません。

企業側が発信する「詳細の公表」はどこまで伝えるべきなのか

インシデント情報の公表については、各情報を分割した上で、適切なタイミングで共有と公表されることが望まれます。理由は、被害者が適切に保護されながら、同様の被害を生まないよう速やかに対策するためです。

例えば、Bさんの自宅に泥棒が入ったとします。泥棒の手口が秀逸であれば、同様の被害を生まないために、その手法は速やかに広く共有されることが望まれます。一方で、Bさんの氏名や住所は、Bさんの個人情報に当たりますので、インシデント情報として一緒くたに公表されてしまうと、Bさんは公表自体を躊躇してしまうかもしれません。

このように、インシデント情報は技術情報とコンテクスト情報に分割した上で、適切なタイミングで共有と公表されることが望まれます。技術情報の速やかな共有は、同様の被害者を減らすことを助け、コンテクスト情報を分割することで、被害者の保護も両立させることができます。プライバシーに配慮しながら著名人の不幸が報道されていることも、同じ悲しみを生まないために情報が適切に共有されていることと似ているかもしれません。

今回は、主に特定の業務に特化したセキュリティ対策についてお届けしました。ペネトレーションテストは高いセキュリティの知識が必要とされますが、重要な情報資産は常に攻撃者から狙われていますので、一度は実施をご検討してみてはいかがでしょうか。