タリーズ情報漏洩「ヤバい事案」との指摘…なぜクレカのセキュリティコード漏洩
大手カフェチェーン「タリーズコーヒー」は3日、通販サイト「タリーズ オンラインストア」のユーザのIDやパスワードなどが9万2685件、クレジットカード番号とカード名義人名、セキュリティコードなどが5万2958件、流出した可能性があると発表。通常は暗号化してシステム上に保存されるユーザーパスワード、およびシステム上には保存されないはずのセキュリティコードまで流出し、ユーザがクレカを不正利用されるなど大きな被害を受ける可能性があるとの指摘も出ている。また、同社は5月30日に自社サイト上にリリース「不正アクセスによるシステム侵害発生のお詫びとお知らせ」を掲載して個人情報の一部流出が懸念されると記載していたが、詳細内容の発表まで4カ月の間隔が空いたことに疑問の声もあがっている。6月にはKADOKAWAがサイバー攻撃を受けて大規模なシステム障害と情報漏洩が発生したばかりだが、タリーズもサイバー攻撃を受けた可能性はあるのか。また、なぜユーザのパスワードやクレカのセキュリティコードが漏洩したのか。専門家の見解を交えて追ってみたい。
全国に約800店舗を展開するタリーズコーヒーは、国内カフェチェーンとしてはスターバックス コーヒー、ドトールコーヒーショップ、コメダ珈琲店に次ぐ4位(店舗数ベース)。米国シアトル発祥のスペシャルティコーヒーをウリとし、運営元のタリーズコーヒージャパンは現在は伊藤園の子会社となっている。
そのタリーズは3日、運営する「タリーズ オンラインストア」に登録された会員情報、およびクレジットカード決済で利用されたクレカ情報が漏洩した可能性があると発表した。漏洩した可能性のある情報は以下のとおり。
・会員情報
氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報
・クレカ情報
クレジットカード番号、カード名義人名、有効期限、セキュリティコード
ウェブスキミング
ECサイトなどではセキュリティ対策のためにパスワードを暗号化して保持したり、クレカのセキュリティコードを保持しない仕様になっているケースが多いが、今回、なぜ漏洩したのか。データアナリストで鶴見教育工学研究所の田中健太氏はいう。
「すでに多くの人から指摘されているとおり、システム内部に侵入されたのではなく、ユーザが情報を入力するウェブブラウザの画面上にJavaScript(スキマー)を仕掛けられ、入力情報が攻撃者のサーバに送信されていた可能性があります。SNS上では、タリーズのオンラインストアのネット上に残されたアーカイブをみると改ざんされた経歴が残っているという指摘も出ているようです。ウェブスキミングという頻繁に利用されている手口であり、ユーザが画面に入力したタイミングで情報が詐取されるため、システム内部で暗号化していたり、保持しないようにしていても盗まれてしまいます。
タリーズのウェブサイトやアプリに脆弱性があったことが原因である可能性もありますが、脆弱性を完全になくすことは不可能なので、どれだけセキュリティ対策を意識して構築したシステムでも不正アクセスによる被害というのは起こり得ます」
では、こうした手口の行為による被害を防ぐためには、どのような対策をすべきか。
「不正アクセスやサイバー攻撃を100%防ぐことはできませんが、CSP(Content Security Policy)を施すことでリスクを低減することは可能です。ウェブブラウザに対して、許可しないデータベース(DB)などへのデータ送信をさせないという仕組みで、今回のケースでいえば、特定のクレジットカード会社のシステム以外へのデータ送信を許可しない設定にしておくことで、攻撃者のサーバにデータが送信されることを防ぐというかたちです。もちろんCSPの導入によってウェブスキミングによる被害を完全に防ぐことはできませんが、リスクを低減することはできます」
サイバー攻撃の可能性は?
情報漏洩事故といえば、KADOKAWAのシステム障害の事案が記憶に新しい。6月、動画共有サービス「ニコニコ動画」や会社のオフィシャルサイト全体など広い範囲で障害が発生し、同社はサイバー攻撃を受けた可能性が高いと発表。犯行声明を出していたハッカー集団は盗んだデータを公開し、従業員の個人情報や取引先情報などを漏洩させた。
今回、タリーズは情報漏洩の原因について、システムの一部の脆弱性をついたことによる第三者の不正アクセスによりペイメントアプリの改ざんが行われたためだとしているが、KADOKAWAと同様にサイバー攻撃を受けて身代金を要求されていた可能性はあるのか。
「その可能性はないと考えられます。システム内部にランサムウェアを侵入させてもクレカのセキュリティコードは存在しないため盗むことはできないので、今回のケースは、クレカの情報を詐取して不正にユーザのお金を盗むことが目的だと考えられます」
タリーズの対応に疑問の声も
タリーズは5月20日に警視庁からの連絡を受け情報漏洩の可能性に気がつき、同日に「タリーズ オンラインストア」でのカード決済を停止し、同月23日にオンラインストアを一時閉鎖。同月30日に、不正アクセスによりシステム侵害が発生して個人情報の一部流出の懸念がある旨を公表し、クレカ決済をしたユーザは利用履歴を確認するよう呼び掛けた。そして今回の詳細内容の発表まで4カ月の間隔が空いたことに疑問の声もあがっている。同社は第三者調査機関によるフォレンジック調査の完了を待ったためとしているが、大手SIerのSEはいう。
「規模や攻撃の種類が違うので単純な比較はできませんが、KADOKAWAは6月上旬にサービス停止となり、その時点で可能な範囲で被害状況などを説明し、7月に情報漏洩が確認されるとすぐに漏洩した項目を公表し、8月上旬には多くのサービスを復旧させました。タリーズは4カ月たった現在もサービス開始の見通しを発表しておらず、やや対応スピードが遅いという感は否めません。また、個人情報とクレカの番号、名義人名、セキュリティコードが漏洩すると不正利用されてユーザのお金が詐取される恐れがあり、非常にヤバい類いの事案といえ、被害の拡大を防ぐためにも漏洩の可能性を認識した時点でただちに発表すべきだったという考えもあるでしょう」
(文=Business Journal編集部、協力=田中健太/データアナリスト、鶴見教育工学研究所)