6月21日、GMOメイクショップより「2014年9月に発生した、MakeShopへの不正アクセスにおける再調査と漏えい件数変更」について報告があった。この件に関して、”何が”、”なぜ”発生しこれを受け”どのような対応を取るのか”ただ事故を事実として伝えるだけでなく、その対応まで追いかけたいとの想いで、GMOメイクショップ株式会社 プロモーション戦略室の高橋 和夫さんに伺った。

不正アクセスと情報漏えい事故の概要

・2014年9月24日
　　第三者による不正アクセスが確認され、情報漏えいの可能性を認識。
・翌9月25日
　　「店舗320件、会員102,624件の情報流出の可能性がある」と発表。
　　プログラムの改修を行う。
・2016年5月
　　警察より漏えいデータの提供を受け再調査。
・2016年6月21日
　　「漏えい件数変更」を発表。
　　漏えい件数を店舗6,116件（うち退店済：5,585件）、会員625,578件に変更。

※なりすましによる不正購入などの被害の報告はない（2014年9月24日から、発表時2016年6月21日現在まで）

再調査と漏えい件数変更に至る経緯と今後の対策

ー2年経った今、被害の拡大が明らかになったのはなぜでしょうか？

　2014年9月24日に複数台保有するサーバーの内1台に不正アクセスがありました。この時、不正なIPからアクセスがあった1台のみを被害対象だと認識、該当サーバーが保有する最大件数を情報漏えいの可能性があるとして発表しました。この件数が店舗320件、会員102,624件の情報です。

　その後、不正アクセスに関する被害届を警察に提出、警察が捜査を行う中で発見したデータの一部に弊社のものと思われるデータがあり、分析を行ったところ、9月24日に発生した不正アクセスによって漏えいしたものであると判明しました。今回の調査で判明した漏えい件数は店舗6,116件（うち退店済：5,585件）、会員625,578件の情報です。

　2014年の事故発生時に調査した結果、不正アクセスや攻撃の痕跡が見つからなかったため、公表した以上の漏えいの可能性がないと考えていました。

ー店舗さんへの対応はどのように取られていますか？

　情報の不正利用を防ぐためパスワードの変更をお願いしなければなりません。対象店舗様には6月13日、14日にメールで御連絡を差し上げました。同時に対象となった店舗様、会員様用のお問合せ窓口を設置しています。お怒りの声も多数いただいております。お詫びと、文面では難しい細かな説明をさせていただいています。

ー影響の大きなサービス、企業であるという意識が薄れていた部分があったのではありませんか？

　事故発生以前から、セキュリティへの問題意識がなかったわけではございません。MakeShopでは、バグや攻撃の温床となる原因をつぶすために、2013年1月よりソースコードのリファクタリングを毎月実施し、外部からの攻撃に備えた対策を行っておりました。しかし、本当に100%事故が起こらない体制を整えられていたかというと残念ながらそうとは言い切れないかもしれません。

ー今回の事故の最たる原因とそれを受けた対策をお聞かせください。

　システム面の課題と、しっかりリスクヘッジができていなかったことが原因で発生した事故だと考えています。そのため事故の発生から、現時点まで以下の対策を行っていました。

・全サーバーを対象としたマイグレーションの実施
・第三者機関によるページのクローリングやペネトレーションテストなどの脆弱性診断
・定期的な社内スタッフへの教育とセキュリティテストの実施

　今回新たに発覚した事実を受け、改めて重大な事故だと認識しており、今後さらにセキュリティ面を盤石にしてまいります。第三者の目を交え、誰が見ても安心な体制を整える必要があると考えています。



　MakeShopの今後の対応などについては、随時お伝えしていく予定だ。