【マンスリーレポート2003/08】インシデント事後対応 ベストは該当なし ワーストはJCB、UFJカード、ららぽーと
──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml
製品・サービス・業界動向
業界動向
Scan Monthly Report Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml
ネットワークセキュリティ・インシデント年鑑2003
http://shop.vagabond.co.jp/p-inc02.shtml
───────────────────────────────────
2003年8月 Prisoner'Choice インシデント事後対応 ベスト&ワースト
2003年8月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応 ベスト&ワーストをお送りする。
>> ベストは該当なし
8月に発生、発覚したネットワーク上のインシデントの中には、ベストと見受けられるものがなかったため今回は「該当なし」とします。
>> ワーストは JCB、UFJカード、ららぽーと
ネットワーク上のセキュリティには「これで完璧」というものはない。
ゆえに機密情報のやりとりはあえてネットワークを介さずに行われるケースも多い。例えば銀行は、機密情報のやりとりに関しては独自の郵便網を使用し、さらに重要度が増す手形や情報等は支店長同士の「手渡し」といった手法を用いている。
ただし、ネットワークを介さない手法にも落とし穴は存在する。会話や盗み聞き、盗み見などのソーシャルエンジニアリングしかり、ノートPCや各種記録メディアの盗難、損失しかり、である。
8月15日、JCB、UFJカード、ららぽーとの3社による「スヌーピータウンメンバーズJCBカード」の会員情報が、一部紛失していたことが明らかになった。企業間のフロッピーディスクの受け渡し時における損失が原因とみられているが、いつ、どのプロセスで、という詳細は今だ判明しておらず、当のFDも見つかっていない。
紛失したFDは3枚。1枚には、1,453名のカード番号や有効期限、氏名や住所、生年月日等、カード会員が入会時、申込書に記載した情報が記録されていた。他の2枚に入っていたのは、5,470名分のカード番号・利用日・利用金額等のカード利用情報。合計して約7,000人分の個人情報である。
会員登録情報、利用情報が記録されているFDは、JCBが委託しているシステム管理会社で作成される。これを毎月1回、JCB→UFJカード→ららぽーと の順で受け渡しがなされ、その逆のルートを通ってシステム管理会社に返却されるフローになっていた。このフローを辿る過程で、JCBおよびUFJカードにおいて、授受に際しFD枚数の確認を行っていなかったことにより、紛失原因が特定できない事態となっている。取り扱う情報の重要度を考えれば、確認作業は必須であった筈である。
本件の発覚は、公表した8月15日から遡ること約2ヶ月前の6月19日である。システム管理委託会社で判明し、その後、3社間で連携をとりながら各社にて捜索、調査を実施していた。丸の内署に遺失届を提出したのが8月4日のことである。
この2ヶ月というスパンをどうみるか。原因が特定しにくい状況下であり、さらに公表したとなると近々に差し替えカードを発送せねばならず、その準備も並行して進めていかなければならないことはわかる。1社だけで判断できることでもないため、相互で連携を取る時間も必要だ。
しかし、こうしたナーバスな情報が「宙に浮いた」状況はユーザにとって甚だ危険であり、できるだけ迅速に公表、対処すべきではないだろうか。なにしろ、クレジットカード番号とカード有効期限だけでネット通販ができてしまう昨今だ。ユーザはカードを物理的に紛失した際には、すぐさまカード会社に連絡を入れ、使用不可にすることもできる。しかし、こうした情報のみが流れ、万が一悪用されてしまった場合、ユーザは明細等を見て「自分で気づく」しか手立てがないのである。
2003年9月22日現在、本件に対する進捗等を株式会社ジェーシービー、企画部渉外ご担当にお聞きすることができた。尚、以降に登場するコメント全ては、あくまでジェーシービー個社としての回答、取り組みであり、関係3社を代表してのコメントではないことをお含みいただきたい。
【JCBコメント:顧客対応】
───────────────────────────────────
当該FDに情報記録があった会員様につきましては、8/15より本件のお詫びとご報告のご案内を行った上、全件カードを差し替えるため、8/19から新カードをお送りいたしました。
また、当該のお客様から、ご案内以降数多くのお問い合わせをお受けいたしました。改めてお客様にご心配とご迷惑をお掛けしたことの責任を強く痛感いたしております。
なお、本件発覚以降、カード会社から当該FDに記録されていたカードに関するモニタリングを継続しており、また当該のお客様からのお声も拝聴しておりますが、現時点において、本件に起因したカードの不正使用や情報の外部流出の事実は確認されておりません。今後も引き続きモニタリングを継続してまいります。
また、万一本件に起因した不正使用・外部流出の事実が判明した場合は、速やかに関係機関と協議し、お客様にご迷惑をおかけすることのないように、誠意をもって対応をさせていただきます。
───────────────────────────────────
【JCBコメント:情報FDの所在】
───────────────────────────────────
関係各社において徹底した捜索・調査を行っておりますが、残念ながら現時点でFDの所在は判明しておりません。また、紛失の発生箇所を特定できるようなあらたな事実もみつかっておりません。
───────────────────────────────────
[ Prisoner DAMRAK ]
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》
