情報漏えい事故が発生した場合の損害額を知る


個人情報を含め、情報漏えい事故は1日1件以上の頻度で発生しています。

多くの企業で漏えい事故防止に向けた対策が講じられていると思いますが、実際に事故が発生するとどれくらいの損害が発生するのか考え、情報漏えいの起きない仕組み作りを進める必要があります。


情報漏えい事故の発生による企業の損害額については、多くの場合未公開のため 情報漏えいした場合、どれだけのリスクがあるのか一般には知られていません。

そこで、2008年に起こった情報漏えい事故を例に、情報漏えい事故の発生により どれだけの損害があったのか、事故対応にどれだけの労力が掛ったのかを見ていきたいと思います。



■事故発生:顧客の個人情報 約10万人分が流出

音楽機器の通信販売を行っている株式会社サウンドハウス(千葉県成田市:従業員数140名)は、2008年4月3日に、自社のWebサイトからカード情報を含む顧客の個人情報が流出したと発表しました。

流出したのは、同社の顧客約10万人で、氏名、性別、生年月日、同社サイトのログインID・パスワード、クレジットカードの番号・カード名義・カード有効期限でした。


  同社HPに公開された告知文(2008年4月18日付) [外部リンク]
  (事故 詳細説明) [外部リンクpdfファイル]

調査の結果、主に中国からのものと考えられるIPアドレスからSQLインジェクション攻撃が行われ、流出したカード情報が実際に使用されてしまいました。このことがクレジットカード会社から同社に伝わり、漏えい事故が発覚しました。

同社の社長は、事件発覚からその時点までに発生した出来事を詳細に記した手記をWebで発表(上記、詳細説明)しました。そこには、クレジットカード会社とのやり取りなどが生々しく描かれています。

参考になりますので、是非 一読ください。


※ SQLインジェクション攻撃とは、データベースと連動したWebサイトで、データベースへの問い合わせや操作を行なうプログラムにパラメータとしてSQL文の断片を与えることにより、データベースを改ざんしたり不正に情報を入手する攻撃。また、そのような攻撃を許してしまうプログラムの脆弱性のこと。
商用のWebサービスで入力フォームを持たないものはほとんどないため、多くのWebサイトがこの攻撃のターゲットとなる可能性があります。
企業を対象に2007年度に行ったセキュリティ診断の統計では、41%のWebサイトが不正アクセス可能であり、そのうち22%でSQLインジェクション攻撃に対する脆弱性がありました。また、SQLインジェクションの脆弱性のうち84%が、対策を行っていたが抜け穴があるというものでした。
情報処理推進機構(IPA)は、SQLインジェクションによる被害からの復旧コストは1億円を超えうると発表しています。



■事故による損害

同社はこの事故に際して、ログ解析に400万円、セキュリティ対策に2,480万円、サーバー交換 3,400万円をかけてクレジットカード会社が指定するセキュリティ監査を受けたようですが、事故発生から1年以上経過した現在でもクレジットカードの利用は許可されていません。

同社はユーザに対し、3%リベートプログラム 1,000円相当分のクレジットを進呈(122,884名)する対応をおこないました。また、ユーザからの問合せメールが4000件以上、連日入る問合せ電話の対応により体調を壊す社員が続出したそうです。


具体的に、同社が被った損害を集計すると、以下のようになります。

① システム調査、システム対策費用 6,280万円
② ユーザへの進呈クレジット  1億2,288万円(半年間の利用期限あり)
③ クレジットカードが利用できない事による売上損失 売上の3割程度M
④ システムの入れ替え、一時閉鎖による営業機会の逸失
⑤ 顧客対応に費やされた膨大な社内人件工数と人件費
⑥ 社会的な信用失墜、風評被害
⑦ 顧客の不安、不満




■事後対策について

同社は、この事故によりセキュリティ対策の重要性を認識し、システム対策をはじめ、入退出管理などのセキュリティ対策を講じています。

しかし、事故発生前までは ほとんどセキュリティ対策を講じていなかったようです。例えば、今回の攻撃手法は通常のSQLインジェクションとは異なり、サイトに埋め込まれた悪性プログラムを活用したものであることが判明しています。

今回の流出の根源は少なくとも2006年まで遡り、当時からコマンドを外部から実行するだけでweb経由でサーバーアクセスできるような仕掛けをプログラム内に仕組まれた可能性が高いということです。同社はおよそ2年間、この事実に全く気づくことがありませんでした。

もっと早く、情報セキュリティ活動に着手していれば、このような事故も防げ、損害も発生しなかったことでしょう。

SQLインジェクションや、クロスサイトスクリプティングによるサーバー攻撃については、情報処理推進機構(IPA)、マイクロソフト等で注意を呼び掛けているだけでなく、IPAやサーバーメーカーでは、SQLインジェクションの検出ツールが無償公開されています。


情報漏えい事故を経験した企業の多くは、事故後速やかにセキュリティ対策を強化していますが、事故を経験していない企業の多くは 「そのうちにセキュリティ対策をしなければならないな。」と手だても講じないままセキュリティリスクを抱えて企業活動を続けています。


セキュリティ活動は、日々の活動を積み重ねることでセキュリティレベルが高められるものです。

自社のセキュリティ活動に不安がある、又は、充分なセキュリティ活動ができていないと思われるのであれば、セキュリティの専門家を交えてセキュリティ活動に着手することが、最もコストが掛らずにセキュリティリスクを回避できる方法なのです。



ナレッジソリュションズ コーポレーション
代表取締役 中村 豊成
Copyright(c) Knowledge Solutions Corporation.