【マンスリーレポート2003/09】インシデント事後対応　ベストはミニストップ、ワーストは郵びんやさん

──────────────────────────────〔Info〕─
Scan Monthly Report　Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────

　2003年9月 Prisoner'Choice インシデント事後対応ベスト＆ワースト

　2003年9月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応ベスト＆ワーストをお送りする。

>> ベストはミニストップ

　ミニストップのネット通販ショップ「e-ministop」における事故発生は前月（8月）の28日だが、月をまたいで対応が行われたため、9月のベストとして選出した。

　8月27日、「e-ministop」は会員向けに情報メールを配信。翌日になって、この情報メールの配信対象となっていた会員に対してウィルスが添付されたメールが送信される。これが「e-ministop」のサーバを中継し、会員の一部である5483名にウイルス BUGBEAR.B に感染したメールが配信されてしまった。

　メールマーケティングが出現し始めた2000年半ば頃から2001年にかけては、企業によるウイルスメール配信事故が多発している。

　◇メールマーケティングの普及にともなって広がるウイルス送信事件(2001.3.19)
https://www.netsecurity.ne.jp/article/1/1814.html

　◇メール関連トラブル増加の傾向(2001.5.7)
https://www.netsecurity.ne.jp/article/1/2060.html

　こうした点が考慮され、メール配信システム、ウイルスチェック機構などが普及、一般化を辿った。それこそ以前は、間違えて「CC」で一括配信してしまい流出することもあったが、昨今大企業において、そのようなミスはほとんどなくなったといってよいだろう。

　「e-ministop」では通常、情報メールを配信する際には一時的にメーリングリストを生成し、配信後リストは削除される仕組みになっている。しかし、システムの運用障害により配信完了後もこのリストが有効になっており、結果ウイルスを中継することになってしまった。聞けば「単純なオペレーションミス」であるという。過程こそ違えど、やはりメールマーケティング勃興期と同じく、初歩的なミスが引き金となったといえるだろう。

　事後の対応は素早いものだった。同日である28日に、障害対応コールセンターの設置、お詫びとお願いのメールをユーザへ送信、同内容をHPに掲載する等の措置を取っている。コールセンターは、28日、29日に限り24時間体制での受付を行った。両日とも平日であり、昼間は学校、会社へ出向いている層の立場を考慮した良い対応だといえる。

　翌29日には、該当ユーザへウイルスチェック、ならびに駆除を依頼するメールを送付。この間、原因究明作業や今後の防止策などが検討され、30日にはこれらの報告が該当ユーザへメールされている。同時に詫び状の郵送も行った。9月1日、原因や防止策がHP上にアップ。そして3日、HP上に公開された内容は、対応のきめ細かさ、真摯な「告知」に対する姿勢が伺えるものだった。

　ひとつは、これまでの対応の経緯。時系列に沿い、この数日間でどういった対応がなされてきたかを記している。もうひとつは、これまでコールセンターに寄せられた問い合わせ内容と、その件数を記したもの。ウイルスに感染していなかった、とする確認の電話が最も多く、ついでウイルスに感染した、とする対処方法、駆除の確認の電話、その他お叱りや個人情報流出がないことの確認なども寄せられたという。

　こうした告知は該当ユーザに対して安心感を与える。コールセンターに寄せられた問い合わせ内容は、当然「感染していたケース」が最も多いと思われたが、結果は「感染していないケース」のほうが多い。これは「大丈夫だと思うが、一度電話で話をして確認し、安心したい」というユーザ心理の表れと思われる。物理的なケアが終われば対応終了、ではなく、こうした心理面へのケアが、ネットワークインシデントにおいても重要ということだろう。

　ウイルス誤配信の対応は、他のインシデントに比べこれまで公になっているものが多いため、「対応の基本」がある程度、業界内に浸透、確立されているように思う。これはこれでよいことだが、ウイルスの性質によって対応のディティールが変化していくこともまた、念頭に置く必要がある。今回の BUGBEAR.B は、データやハードディスクを破損させる行動はとらないが、破損活動を行うタイプのものであれば他の対応手段を取ったり、賠償の兼ね合いで法務部門との連携がより必要とされるなど、細かい部分で対応手法が変わると思われる。

　また、BUGBEAR.B も、PC内の任意のアドレスへウイルスを拡散するマスメーリング型ワーム活動を行うが、こうした部分が改良（改悪）された、オンラインスキャンや修復ツールのダウンロードをする猶予さえ与えないウイルスが出現した場合は、「ウイルスに感染したかどうか疑わしい」段階でユーザがネットワークからPCを切り離せるような、今よりも迅速な対応が求められるようになる可能性も否めない。しっかりとした予防策がこれまで以上に不可欠となるだろう。

　◇ミニストップがウイルス感染メールを会員に送信(2003.9.8)
https://www.netsecurity.ne.jp/article/1/11053.html

　◇ミニストップ：発生原因及び再発防止策のご報告(続報）
http://www.ministop.co.jp/apology/index.html

>> ミニストップ　の★取り表

対応の速さ　　　　★★★★
報告者との連絡　　不明（自社で発覚？）
社内体制　　　　　★★★★
ユーザ告知方法　　★★★★★
ユーザ告知内容　　★★★★★
その後のフォロー　★★★★

★の数は多いほどよい。基準は下記のとおりだが、あまり客観的というわけではない。
★　　　　　最悪　なしあるいはないも同然
★★　　　　申し訳程度。
★★★　　　許容範囲。
★★★★　　適切な対応。
★★★★★　考えられることは全て対応。迅速。

[ Prisoner DAMRAK ]

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec