万能ではないセキュリティ対策(1)セキュリティ企業からハッカーが情報盗難

2005年11月、インシデントレスポンス、コンピュータ・フォレンジックなどITセキュリティサービスを提供するGuidance Softwareの顧客データベースにハッカーが侵入。情報を盗難する事件があった。

Guidance Softwareの会社概要には、犯罪科学上安定した、かつコスト効率の良い方法で、デジタル化された情報を検索、特定・識別、回収するソリューションを開発する企業となっている。その主要製品「EnCase」は、コンピュータ・フォレンジックのためのツールで、警察やFBIなど捜査当局や、企業でネットワークセキュリティを担当するスタッフ、法律事務所が、コンピュータやネットワークの証拠保全、不正なアクセスを追跡、解析を行うために利用している。

そのGuidance Softwareにハッカーが侵入したということで、ITセキュリティの関係者は大きなショックを受けた。事件以来、何度か詳細についての説明とコメントをGuidance Softwareに求めているが、回答は全くない。但し、事件について様々な報道をまとめると詳細は次のようだ。

・侵入は11月中で、事態に気付いたのは12月7日。
・ハッカーは約3800件のクレジットカード番号に不正にアクセスしていて、現在も財務省秘密検察局が捜査中だ。
・ハッカーがアクセスした情報は、クレジットカードデータのほかにも氏名、住所など。・通知については『Washington Post』によると、侵入に気付いてから2日以内に行ったようだ。
・ハッカーが侵入したのは同社サーバーの1つ。

沈黙を守っているGuidance Softwareに代わって、いくつかのメディアが、同社製品を使って、コンピュータ・フォレンジックサービスを提供しているKessler Internationalのマイケル・ケスラー社長から話を聞いている。Kessler Internationalは被害を受けたうちの1社で、American Expressカードからの請求書で、データの不正アクセスがわかった。

事件が明るみに出たのと、ほぼ同時にKessler Internationalは、2万ドル近くのクレジットカードの請求書を受け取った。内容はGoogle.comのペイ・パー・クリック型広告などについてで、同社ではこれらのサービスを利用していない。ペイ・パー・クリックは検索エンジンを使っての検索で、ユーザーがクリックするたびに広告主への料金が発生する仕組みになっている。何者かが不正にKesslerの社名とクレジットカード情報を勝手に使用して、このサービスを利用していた。

請求明細を見ると、不正使用は11月25日からだ。「12月7日にわかっていたのなら、普通郵便で通知するのではなく、もっと早い方法でしてくれれば、カード会社に通知できたのに」とケスラー社長は『CNET』にコメントしているが、それは同社がGuidance Softwareの通知を受け取る前に、American Expressから請求書が送付されてきたためらしい。ほぼ同時だが、通知より請求書の受領が先だった。

当社の質問に対してもGuidanceからの回答が得られなかったため、直接ケスラー社長にも話を聞いたところ、不正使用が請求書2回分に渡っていたということも、コンピュータ・フォレンジックのサービスを行う企業に関わらず、Guidanceはすぐには侵入に気付かなかったということになるため、印象は悪かったようだ。

さらに、全体的にGuidance Softwareの対応はよくなかったと失望を隠さない。その理由として、

・事件に気付いてすぐに通知を行っていない
・問い合わせの電話への対応
・漏洩についての謝罪の言葉がない
・漏洩した情報にはクレジットカード番号があるが、なぜ保管していたのか理由の説明がない

などを挙げている。

会社だけでなく、従業員数人もGuidance Softwareから情報が漏洩したとの通知を受け取っている。Kessler Internationalはニューヨークに本社をおき、リスクマネージメントなどを行う企業だ。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm