第19回テーマ「Webサービスからの個人情報窃取」

Webサービスから個人情報窃取？ どうやって防げばいいの？

基本的に一人で情報システムを担当しているアミダ社の中村和人。社内外で発生するセキュリティ事故にはいつも敏感にならざるを得ない。つい先日も、業務でつながりのあるA社のWebサイトが不正アクセスされ、そこに保存されていた個人情報が流出したという話を聞き及んだ。

「銀行の振り込みや振り替え、レシピの検索や投稿、ファンクラブの登録やメッセージ投稿に至るまで、Web化していないサービスってないぐらい、今この手のサービスって隆盛ですよね。うちの会社でも、B to B向けのWebサイトで部品の販売や仕入をすることもあるんですよ。これって堅牢なシステムなんだと思ってたんですけど、危ないんですか」

と疑問をぶつけてきたのは、総務部の加藤彩だ。

「もちろんWebシステム開発者はセキュリティに最大限気をつけているとは思うけど、何事も絶対安全ということはないからね。A社の場合は幸いにも被害はわずかで、数十件の顧客情報の漏えいに留まったらしいんだけれど、色々調べてみると過去には大変な事故が起きているんだ」

中村が例に挙げたのは、税金や生命保険料をクレジットカードで支払うサイトに不正アクセスが行われ、約72万件のクレジットカード番号が流出した事件や、テレビ局のWebサイトから、そこに番組の感想などを書き込んだ視聴者のメールアドレスなど約37万件が流出した事件だ。

「えっ、私も好きなテレビドラマがあるから、そういうところに時々感想を書き込んだりしている……」と、加藤は一瞬青ざめた。

Webサービス利用で最も問題になっているのは、攻撃者が不正にログインをして、サービス提供者のシステム内の個人情報を盗み、それを犯罪に利用することだ。こうしたWebサービスからの個人情報窃取は、IPA（独立行政法人 情報処理推進機構）の「情報セキュリティ10大脅威2018」でも、個人向け脅威、組織向け脅威の両カテゴリーで共に第6位にランクされている。

「うちも、購買サイトの利用だけでなく、自社ホームページにアクセスしてきた潜在顧客に製品資料などをダウンロードしてもらうWebサービスをやっているだろ。そこでは顧客のメールアドレスや会社名などを記入してもらっている。これも立派な個人情報だ。Webサービスの提供者という立場からもその管理には十分気をつける必要があるね」

「そうでなくても……」と、中村は続けた。

「社員が全く個人的な立場で、Webサービスを利用することはよくある。そこに登録した個人情報が窃取されて、それが会社の業務に悪影響を及ぼす可能性だってあり得るからね」

決して人ごとではないと思ったのだろうか。

「どうしたらいいのかしら。中村さん一緒に対策を考えましょうよ」

と、いつになく、いやいつものように、加藤は積極的だ。

「まずはWebサービスから個人情報が盗まれると、どんなことになるか。問題の重大性から理解することにしよう」

中村は加藤に「講義」しながら、自分の頭を整理していくことにした。

「個人情報を盗むことはそれ自体犯罪ですけど、一番怖いのはその情報を使って“なりすまし”が行われること、つまり二次被害につながるおそれがある、ということですよね。クレジットカードの番号、カードホルダー名、有効期限などが知られたら、それこそ大変」と加藤の理解は以前に比べてずいぶん早くなった。

問題は個人の被害に留まらない。個人情報窃取が他のインターネット・セキュリティ犯罪と同様に問題視されるのは、その被害を受けた企業のイメージ失墜につながるからだ。

「Webサービスの脆弱性を突かれて個人情報が漏出すれば、会社のイメージダウンは必至だし、その個人情報を悪用されて被害が広がれば、重大な責任を負うことになる。場合によっては情報を漏らされた利用者からの損害賠償請求なんてことにもつながりかねない」

「うちみたいな中小企業は大ダメージを受けちゃいますね……」

加藤は不吉な感想を漏らす。

「単に情報が漏れるだけでなく、Webシステム自体がサービス停止を余儀なくされて、事業に影響を与えることだってあるんだ」と、中村は自分で講義しながら、あらためてWebサービスのセキュリティの重要性を認識するようになった。

「そもそもどんな手口で個人情報が盗まれるのかしら」と、中村に聞いてきた。

「これまでの事例だと、Webサービスを構成するソフトウェアにセキュリティパッチなど適切な対策が施されていなかったことが大きな原因になっているようだよ。その脆弱性が攻撃者に突かれて、そこから個人情報が窃取されるケースが多いんだ」

「メールにも十分気をつけないといけない。ウイルスを添付したメールが起点になって、Webサービスへの不正アクセスが行われることがあるからね」と、中村は続ける。

「メールに仕掛けられたJavaScriptコードを不用意に起動すると、マルウェアが自動的にダウンロードされ、さらにそれにパソコンが感染しちゃうっていうアレですか」

「そうそう、加藤さん、最近、よく勉強しているね」

加藤の顔はまんざらでもない。

「具体的にはどんな対策があるのかしら」と、加藤の目は真剣だ。

「まず、Webサービスを利用する側の視点で考えてみよう。基本は利用者の情報リテラシーを向上させることだね。Webサービスを利用しても、クレジットカード情報などの登録は慎重に行うこと。すでに利用しなくなったWebサービスは退会処理をして、個人情報を削除してもらうようにすることも必要だ」と中村は言う。

「そう言えば、複数のWebサービスで、同じユーザーID、パスワードを使用しているユーザーは、特に被害に遭いやすいってことも聞いたことがあります」と加藤。

続いては、Webサービスを提供する側ができるセキュリティ対策だ。

「アミダ社もその一つだけれど、Webサービス提供者側としては、Webサイトの脆弱性診断、不正な通信からの防御、ログのアクセス解析など、何らかのセキュリティ対策を講じる必要があるんだ」

「Webサイトの脆弱性って具体的にどういうものなんですか」

加藤はいい質問を投げかけてくる。

中村は、やや専門的になるがと断って、「SQLインジェクション」の例を挙げた。

「SQLインジェクション」とは、アプリケーションのセキュリティ上の不備を意図的に利用し、ふだんは使われないSQL文を実行させることで、データベースシステムを不正に操作する攻撃方法のことだ。これを回避するためには、SQL文の実装をすべてプレースホルダで行うなどの根本的解決法のほか、エラーメッセージをそのままブラウザに表示しない、データベースにアクセスするアカウントに適切な権限を与えるなどの保険的対策があることを説明した。

「Webサイトの安全を維持するためには、Webサイトを構成する要素に対して、それぞれに適した対策を実施する必要があるんだ。例えば、サーバ OS やソフトウェアに対しては、各ベンダーが提供する情報を元に、脆弱性修正パッチを施すというのが基本対策だろうね。Webセキュリティ対策は部分最適ではなく、全体最適の必要があると言われているよ」

「うわっ、けっこう難しいんですね」と、加藤。

「そうだ、今の質問で思い出したよ。IPAのホームページに『5分でできる！情報セキュリティ自社診断シート』ってのがあるんだ。簡単な設問に回答していくだけで、自社の情報セキュリティ対策のレベルを知り、問題点を見つけることができるらしいよ。まずは“問題の存在を知ること”がスタートラインだからね」

「それ、いいですね。私たちもやってみましょうよ」

中村と加藤は早速、IPAのサイトから、自社診断をしてみた。するといくつかの点で対策が必要だと診断されてしまった。ただ、これらの対策を中村一人ですべて行うのは限界がある。

「なんか、簡単に導入できるいいソリューションないかしら」と思い悩む加藤。

「大丈夫。Webサービスからの個人情報窃取にも対応した、セキュリティソリューションが各社から提供されていることはわかっているんだ」と中村はすかさず応答した。

すでにこの講義を始める前にある程度の調べはつけていたのだ。Webアプリケーションの脆弱性診断から、侵入検知、ファイアウォールの再構築、ログ管理、セキュリティパッチの自動更新などを含んだパッケージもあり、中小企業にも比較的安価で導入できる。

「今度、この導入を社長に提案してみよう。ただ、その前にWebサービスの利用について会社のセキュリティポリシーを見直す必要があるかもね。何でも自由に使えることが問題なのかもしれないから」

「それとやっぱり、人の問題、セキュリティ教育が大事ですよね。社員のみんなには、利用者側、提供者側の両方の視点でWebサービス利用・管理の問題点をもっと認識してもらわなくちゃ」

ほんとに今日の加藤は鋭い。まるで情報セキュリティの先生になったみたいだ。

• Webサービスの不正アクセスで数十万件のカード番号流出。被害は跡を絶たず
• 二次被害は個人財産の毀損だけでなく、会社の信用失墜、事業継続にも影響
• アプリケーションのセキュリティ上の不備をつかれるケースが多い
• メールに添付されたマルウェアを実行させると、パソコン操作が乗っ取られ、パスワードなどを不正に盗み出されることがある
• パスワード変更、サービス利用制限など利用者個人向けのリテラシー向上が必要
• Webサービス提供者は、サイト脆弱性診断、不正通信防御、ログのアクセス解析などを徹底すべし
• 中小企業でも使えるセキュリティソリューションの活用を検討