モンベルの悪い点はいくつか挙げられます。
まずWEBアプリケーションの脆弱性を排除していなかった。WEBアプリケーションとはモンベルのWEBサイトで買い物をするときにサーバ側で動いているアプリケーション・ソフトなんだけど、これのセキュリティ・ホールを塞いでいなかった。
2点目はデータベースの保護をしていなかった。WEBアプリケーションからカード情報が格納されたデータベースへアクセスするわけだけど、その経路上で (物理的経路と論理的経路の場合がある)不正アクセスを検出して排除する仕組みを導入していなかった。これをやっていれば、WEBアプリケーションに脆弱性があっても水際で食い止められたはず。
3点目はWAF(Web Application Firewall)を導入していなかった。WAFは「ワフ」って読むんだけど、WEBアプリケーションの脆弱性を修正するにはかなりコストがかかるんで、不正な要求コマンドがアプリケーションに到達しないようにチェックするファイアウォールをWEBサーバの手前に置いておく。すると今回の攻撃手法だった SQLインジェクションを検出して排除することでWEBアプリケーションを守ってくれるというわけ。
多分、一番簡単で一番安くできるのがWAFを導入することなんだけど、それすらやっていないセキュリティ意識の低いショッピング・サイトだったと言えるでしょうね。モンベルに限らず自社サイトで(楽天とかじゃなく)クレジット・カード情報を入力させるようにしている場合は上記対策を施さなければならないルールです。でも、ネット系とかセキュリティ系の会社以外じゃそこまで気が回らないんだろうなあ。コストかけても売り上げに結びつくわけじゃないし。
モンベルは今回の漏洩事件で個人への補償や対策費用が少なくとも何百万とかかかってしまうんでしょうねえ。そればかりか今後の対策としてWAFなどの購入費用も発生するわけですよ。けっこう高性能なWAF装置だと数百万から上は二千万超まであるけど、これをケチったばかりに大きな代償を払うことになってしまいましたねえ。
使う側がそういうサイトじゃ情報を入力しないように(他の支払い方法を選ぶとか)するくらいしか対策が無いかも。ま、アウトドア業界でそこまでやってる会社があるとはあまり思えないし、無闇にカード決済をしない方が良いというわけですな。ポイントとしてはWEBサイトの会社にクレジット・カード情報が一切渡らない決済システムを採用していればいいのかもしれないけど・・・その先が対策済みかまで調べるの面倒だなあ。
ラベル:ニュース
センスの無いサイト作りだなぁとは感じてましたが、セキュリティももろかったんですね。
支払いプロセスはpaypalとか外部サイトにアウトソースできても、やっぱりユーザデータベースは欲しいし。
今回の件で、購入顧客へ被害が発生しないことを祈りつつ、世界に名だたるブランドに相応しいWebサイトを期待したい物です。
既にわかっているだけで100人以上がコンサートチケットなどに不正利用されているようですよ。これらはもちろんモンベルの負担になるでしょうね。
昔YahooBBが情報漏えいの迷惑料的な補償で、一人500円を支払ったことから、漏洩一件につき500円が相場になっているそうです。同じだと仮定したらさらに11,500人で575万円の出費が必要ということですね。
こういうのって若い社員が提言しても上役が分かってないパターンが殆どなんですよね。
攻撃した連中から見れば、簡単すぎて逆に驚いちゃうくらいだったんじゃないかと。
ま、アウトドア業界なんてこんな低レベルってことですね。
専門的なことはよくわからないですが、沼の住民の中には迷惑料として5000円分のギフトカードをいただいたという情報も・・・。
うー、何となくうらやましいと思う私は、只の俗物ですな。
個人情報が丸裸にされて5000円じゃ釣り合わないですよねー。以降スパムや詐欺メールなどなどの対象になってくるわけだし、カード番号変えても自動引き落としとか様々な契約変更の手続きの手間もかかるわけですしね。
セキュリティ対策してる大手ショッピングサイトも内部犯行まで防げるかどうか・・・怪しいもんです。
でも、もちろん実際に使用する際はFWは必須で、DBはプライベートにするってスライドでは説明するんですが・・・
講習会の環境をそのまんま会社のサイト構築で使ってるってのが、その辺の駄菓子屋のおぢさんみたいでガッカリですね。ってか、駄菓子屋さんい失礼か・・・
それにしても、カード情報を盗まれた方は自分に落ち度がないのに銀行とかに出向いて再発行でしょう・・・大変ですよね。五千円程度じゃ手間賃にもならないです。
ってか、これなら私もやる気になれば簡単にハッキングできるなぁって妙な自信を持ちました。
絶対やりませんけど・・・
漏洩した情報の種類、その情報の集め方、防止策の程度などなどで計算する迷惑料の算出方法をどこかで見かけました。今回の件を当てはめると5000円どころじゃ済まないですね。
WAFは対策のあくまで第一歩でクロスサイトスクリプティングを100%防ぐことができないし、内部犯に対して無力だし、DBFと組み合わせなきゃ片手落ちって今後言われるでしょうね。
セキュリティ屋さんが儲かるわけだ(笑)
(わたしゃ違いますが)
同社から何度もメールが来て、その中に自分が入っていたとはびっくり。
5000円分のポイントをいただけると最終通知があり、「こうなれば即使おう」と思いきや、同社のサイトにはポイント残高が表示されず、いくらポイントが残っていたかも不明。買うのにはメールをくださいなどと事故後の対応も疑問だらけです。
結局カードの再発行となりましたが、同社ばかりかカード会社の対応にも不満が残りました。
いろいろ聞かれて気分を悪くしました。(半分めんどくさい様子で紛失届を勧められたり・・)
それにしても5,000円とは顧客をなめた額ですね。
日本ネットワークセキュリティ協会(JNSA)の「損害賠償額算出式'03」による賠償額の計算を後ほどアップしますが、訴訟を起こせばもっと取れますね。