ここから本文です

ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後で“支持される企業”と“たたかれる企業”の違い

9/19(水) 7:00配信

ITmedia エンタープライズ

 2018年8月、マイナビさんが主催する「情報セキュリティ事故対応アワード」に参加してきました。そこでは、3月に開催された第3回アワードで優秀賞を受賞した「ぴあ」における情報漏えい事故に関して、当事者と審査員メンバーで赤裸々なディスカッションが行われました。

「必ず攻撃は起こる」と念頭に置いた上で、事後対応に悩む企業は多いはず

 残念ながらその内容は公開できないものの、オンラインで同社が公開した事故の経過報告の行間に込められた内容や、企業側の思いがストレートに伝わる内容で、個人的に大変感銘を受けました。

 今回の事故の原因は、「Apache Struts2」の脆弱(ぜいじゃく)性。多くの企業が同じ原因を突かれて攻撃されました。ぴあの対応を巡るディスカッションは、事故が起こった際に「顧客にどう説明すべきか」「顧客を第一に考えた対応や行動とは何か」を最優先で考える姿勢こそが重要だということを体感できる1時間半でした。

 一度起きてしまった事故は、なかったことにはできません。しかしその後の対応次第で、企業の印象は大きく変わります。今回の一件で、私はむしろぴあのファンになってしまうほど、素晴らしい対応や情報公開の姿勢に感謝しています。

事故は必ず起きる――その前提で、どう顧客対応を行うべきなのか

 規模の大小を問わず、情報漏えい事故の一歩手前である「侵入」は、防げないと言っても過言ではありません。「防げないからこそ、侵入を必ず検知しよう」「最終的に悪意ある者の目標が達成される前に、どこかで防ごう」――これは、多くのセキュリティベンダーが掲げる多層防御の姿勢です。侵入時点で防げないのならば、どこかでその穴をカバーする。もはや当たり前になった考え方でしょう。不幸にも事故が起きてしまった場合は、全力で顧客目線での対応を行うことも、広い意味での「防御」かもしれません。

 一方で、そうしたセキュリティベンダーの姿勢を考える上で、少々気になる事件が話題になっています。それは、顧客目線では“大きな事故”であるにもかかわらず、当事者の説明を見る限り、“ひょっとしたら、企業の側は事故だと認識していないかもしれない”ように見えるもの。1つ目は、決済方面でも注目され、いま周囲を見渡せば必ず1つくらいは目に入るであろう「QRコード」を巡る事件です。

 QRコードは、デンソーウェーブが規格を作り、広く普及している二次元バーコードの名称です。認識精度が高く、情報量も多いため、多くの場面で活用されています。ポスターなどの片隅にWebサイトへ誘導するQRコードが印刷されることも当たり前になり、最近ではQRコードを使って決済を行う仕組みが海外で活用されています。iOSでも標準のカメラアプリがQRコードリーダーとして使えるようになったので、大変便利です。

 しかし、そこに問題が発生します。アララが提供するQRコードメーカーで「アクセス解析機能付き」のQRコードを作成し、同社がデンソーウェーブの協力の下で提供する「公式QRコードリーダー“Q”」で読み取らせると、ユーザーの位置情報やIPアドレスを収集することが明らかになりました。“Q”は、確かに初回起動時に位置情報の利用を許可するかどうかをユーザーに聞きます。しかし、それは決して「位置情報を誰かに送信することを許可するかどうか」という意味にはならないはずです。

1/2ページ

あなたにおすすめの記事