Designed by カミジョウヒロ

セキュリティ事故が起きないに越したことはないものだが、どんなに対策を講じていても100%起きないという保証はない。十分なセキュリティ対策はもちろん必要だが、加えて重要なのは万一の事故が起きた際、どのように対応するのかということである。

その重要性を広めるべく、不幸にもセキュリティ事故に遭ってしまったものの、その後の対応が素晴らしかった企業や団体を表彰する「情報セキュリティ事故対応アワード」が2019年3月5日、経済産業省後援の下に開催された。

同アワードで審査員を務めるのは、EGセキュアソリューションズ代表 徳丸浩氏、NTTコミュニケーションズ 経営企画部マネージドセキュリティサービス推進室 北河拓士氏、インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏、ソフトバンク・テクノロジー 技術統括 脅威情報調査室 プリンシパルセキュリティリサーチャー 辻伸弘氏ら5名。いずれも、日本を代表するセキュリティ業界のプロフェッショナルである。

本稿では、当日の模様をダイジェストでお伝えする。

詳細な情報公開や被害の拡大防止に対する貢献を評価

今回、アワードの選考対象となった期間は2018年1月~12月。主な評価軸となるのは「事故発覚から第一報までの期間、続報の頻度」「発表内容(原因/事象、被害範囲、対応内容)」「自主的にプレスリリースを出したかどうか」の3点である。

審査員5名が100件以上のセキュリティ事故を調査した結果、受賞候補としてノミネートされたのは32件。そのなかからさらに慎重な選考が行われ、受賞企業/団体が決定した。

残念ながら最優秀賞に選ばれた企業は受賞を辞退したものの、ディノス・セシールと伊織が優秀賞を受賞し、特別賞として気象庁が選出された。

それぞれの受賞理由を順に見てみよう。

ディノス・セシールでは昨年、複数の中国のIPアドレスよりメールアドレスとパスワードを使った不正アクセス1938件が発生。490名の顧客情報が閲覧された可能性を公表した。

その発表内容によると、これら1938件のユーザーは全員ディノス・セシールに会員登録していたため、当初は自社リストの漏洩が疑われた。だがその後、調査を進めた結果として、第2報において、会員登録画面で多くのIDのリストを用いて、その挙動から存在するユーザーを抽出するというスクリーニングがなされていたことを明らかにした。

選考会では、こうした調査の結果を随時発表したこと、さらに会員登録画面の二重登録防止機能がスクリーニングに使われたことを手口と共に公表し、ログイン画面以外もセキュリティ監視対象に入れるべきことを世に知らしめた点が大いに評価された。

もう一社の優秀賞である伊織に起きたインシデントは、同社のネットショップの決済処理部分が改ざんされ、偽のクレジットカード情報入力画面が挿入されたというものだ。このクレジットカード情報窃取の手口について、伊織は画面ショットを交えて詳しく解説。遷移先ドメイン名も記載し、被害の拡大抑止に貢献した点が評価された。

当日来場できなかったディノス・セシール、伊織のトロフィーはそれぞれ辻氏(写真左)と徳丸氏(写真右)が代理で受け取り、後日贈呈となった

また、特別賞を受賞した気象庁は、気象庁自体がセキュリティ事故に遭ったわけではなく、気象庁の公式アナウンスを装った迷惑メールに対する注意喚起が迅速かつ見事だったことから選出された。

当時、気象庁による津波警報の発表を装い、記載されたURLをクリックすると、マルウェアとみられるスクリーンセーバー形式のファイルがダウンロードされる迷惑メールが出回った。これに対し、気象庁は不正ドメインとファイル名を記載したお知らせで注意を喚起。自分たちに責任があったわけではないにもかかわらず、被害の拡大を防ぐために尽力した点が評価された。

アワード当日は、国土交通省 気象庁 総務部企画課 情報セキュリティ対策企画官 豊田英司氏がゲストとして登壇。当時、何が起きたのか、それに対してどのように対処したのかといった一連の流れが語られた(関連記事:『気象庁の信頼、そして何より国民を守るため――使命感と知識が支えた事故対応 [事故対応アワード受賞レポート]』)。

本アワード審査委員長を務める辻氏(写真左)から、実際に対応を行った気象庁 総務部企画課 情報セキュリティ対策企画官の豊田英司氏(写真右)にトロフィーが贈呈された