古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

GMO子会社のクレカ情報漏えい事件、“褒められる対応”を考えた

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/03/13
GMO子会社のクレカ情報漏えい事件、“褒められる対応”を考えた: 画像:ITmedia © ITmedia エンタープライズ 提供 画像:ITmedia

 また、情報漏えい事故が起きました。

 東京都税の指定代理納付者であるトヨタファイナンスが、再委託業者であるGMOペイメントゲートウェイにサイト運営を委託していた「東京都の都税クレジットカードお支払サイト」で不正アクセスが発覚し、クレジットカード番号やセキュリティコード(CVV)を含む情報が外部に漏えいしました。

 この記事を執筆している時点では、まだ第1報しか出ていない状況ですが、67万件以上の情報が漏えいしたと発表されているので、対象となる人は引き続き情報をチェックしてください(編注:その後住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトでも4万件を超えるクレジットカード番号や個人情報が流出した可能性があることが発表されました)。

 また、クレジットカードを利用している人は、本件の対象者でなくても「定期的に明細をチェックする」習慣を付けましょう。最近ではスマートフォンアプリを通じて、プッシュ通知として受け取れます。これなら、すぐに確認ができるので便利ですよ。

●私たちが注目すべきはむしろ「事故のあと」

 今回の漏えい事件は「税金」を扱っていたこともあり、多くのメディアが取り上げていますが、世論は冷めやすく、事件はすぐ忘れられがちです。でも、本当に大事なのは、“事件を起こしたこと”ではなく、“なぜ、事件が起こったか”。私たちはむしろ、GMO子会社の今後の動向に注目すべきなのです。

 例えば漏えい事故を起こした企業が、「注目されている期間だけ逃げ切れば、すぐに忘れられるはず」という意識だったとしたら、セキュリティに投資など不要だという考え方につながってしまう可能性があるのです。

 企業がサイバー攻撃の事件や事故に巻き込まれてしまったら、発生した経緯を発表し、どのように攻撃されたのかを詳細に記すことが重要です。これらの情報は、きっと同様のソフトウェアを利用する企業や、似たような情報を持つ同業他社への「防御のヒント」になるはず。しかし、「事故を起こしても逃げればいい」と思って情報を公開しなかったら、防げる事故も防げません。

 こうした暗い未来を迎えないためにも、「事故を起こしたこと」と「詳細な報告を行い、正しい事故対応を行ったこと」は区別して考えるべきなのです。

●事故を起こした企業を褒める?

 実はそうしたことを、ずいぶん前から提唱し続けているセキュリティ界の人たちがいます。マイナビニュースが2016年から始めた「情報セキュリティ事故対応アワード」です。

 これは徳丸浩氏(@ockeghem)、北河拓士氏(@kitagawa_takuji)、根岸征史氏(@MasafumiNegishi)、辻伸弘氏(@ntsuji)、そして@piyokango氏が主宰するイベントで、説明責任や情報開示に焦点を当て、“優れた事故対応”を行った企業を表彰し、参考事例として生かそうという試みです。

 経済産業省の後援で2017年2月21日に開催された第2回では、事故対応リポートの中に不正な通信が行われた通信先ドメインを明記することで、他の企業がヒントとして活用できるようにした「富山大学水素同位体科学研究センター」の事例、人気のオンラインゲームにおける“チート行為”の詳細な対応に関する一連の対処が素晴らしかったスクウェア・エニックスの「ドラゴンクエストX」の事例、そしてECプラットフォームにおける不正アクセスに対し、詳細なリポートを行った「パイプドHD」の事例が特に優れていたとして表彰されました。

 さらに、2017年に新設された報道賞では、継続した報道を行ったことが評価された、ITproの「News & Trend - JTBの事故対応手順が明らかに、非公開の報告書を読み解く」が受賞しました。

 サイバー攻撃は日々激化していますが、リスク要素が多すぎるからといって、企業が「何をしても無駄」という考えになってしまうと、最終的にはサービスの利用者である私たちにその責任が降りかかってくるでしょう。

 漏えい事件に直面したときにすべきなのは、事件を起こした企業をたたくことではなく、今後どのように調査が行われ、それが回り回って私たちの役に立つかを注視することだと思うのです。

 情報セキュリティ事故対応アワードのような取り組みが功を奏して、例えば正しい情報提供や事故対応を行った企業は「保険料が安くなる」といったメリットが出てくれば、状況が変わるのかもしれません。

 今や、どれだけコストをかけたとしても、100%情報漏えい事故を防ぐことはできない時代です。皆さんもぜひ、事故が起きた時には、「その後の対応」に注目してください。

●著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より:

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon