豊かな自然と温暖な気候に恵まれた鹿児島県志布志市。日本一「志」の多いまちとして有名だが、鰻やお茶、肉、海産物など、特産品も豊富だ。

そんな志布志市は2023年6月、同市が運営するふるさと納税特設サイトに対する外部からの不正アクセスにより、クレジットカード情報を含む個人情報が流出する事故が発生したことを公表した。

クレジットカード情報漏えいに関する報告文は似通ったものが多いなか、志布志市のプレスリリースは、発覚の経緯や対応状況を詳細に説明するだけでなく、攻撃手法についても明らかにした点が特徴的だった。こうしたほかの企業や組織にとっても参考になる徹底した情報公開と被害者に寄り添った対応が評価され、志布志市は第9回情報セキュリティ事故対応アワード 特別賞を受賞した。

対応の指揮を執った同市港湾商工課 課長 大迫秀治氏に、危機管理において意識していたポイントについて詳しく話を聞いた。

  • 志布志市 港湾商工課 課長 大迫秀治氏

ファンとの継続的な関係性づくりのために特設サイトを運営

志布志市は2008年からふるさと納税に取り組んでおり、2015年からは返礼品として特産品の送付を開始した。大迫氏は、ふるさと納税に力を入れる理由をこう語る。

「ふるさと納税は、全国の方からいただいた『志』に対し、特産品という形でお返しすることで、志布志市のイメージアップを図るとともに、ファンを増やして交流人口拡大や移住定住につなげる重要な取り組みです。また、まちづくりの財源確保という面もあります」(大迫氏)

楽天やふるさとチョイスなど複数のふるさと納税ポータルサイトに加え、2015年には志布志市独自の特設サイトを開設。オープンソースのECサイト構築パッケージ「EC-CUBE」を用いて外部委託により構築したという。

「特設サイト経由の寄附はほんの数%ですが、特設サイトを設けることで志布志市のファンを獲得し、継続的な関係性を築くことを狙っていました。開発会社から提案されたEC-CUBEは当時、ECサイト構築によく使われているサービスでしたし、特産品との連携のしやすさを考えた上で、採用を決めました」(大迫氏)

「システムは停止していたのになぜ?」 クレジットカード会社からの連絡で情報漏えいが発覚

転機となったのは、2022年。EC-CUBEの脆弱性の報告が増えはじめ、実際に事故も発生している状況を鑑み、「寄附者の情報を大切にしたい」という思いから、志布志市はシステムの切り替えを決断し、同年10月にEC-CUBEで構築した特設サイトを停止。別サービスを利用して総合的なファンサイトとして再オープンすることを計画していた。

しかしながら、2023年4月6日、クレジットカード会社からカード情報流出の懸念があると市に直接電話で連絡が入った。被害発覚の経緯について、大迫氏は次のように説明する。

「最初は半信半疑でした。特設サイトはすでに停止していたからです。『そもそも止めているシステムなのになぜ?』という思いでした。しかしながら、委託先の調査で、2021年3月にサイバー攻撃を受けていたことが判明しました。システムを停止する前に侵入されてしまっていたのです」(大迫氏)

攻撃は、EC-CUBEの脆弱性を悪用したクロスサイトスクリプティング(XSS)によるものだった。志布志市2021年11月にWAFを設置していたが、そのときにはすでに侵入されていたことになる。

独自に整備していた危機管理マニュアルが役に立った

クレジットカード会社から連絡を受けた大迫氏は、即座に所内に対策本部を設置。委託会社を通じてデジタルフォレンジック専門業者に調査を依頼し徹底的な原因究明を進める一方、鹿児島県警サイバー対策課や個人情報保護委員会への報告も行った。

志布志市として対応に当たったのは、大迫氏の所属する港湾商工課5名の職員が中心となった。クレジットカード情報の漏えいについては、カード会社のマニュアルに従い、打ち合わせをしながら対応を進めていった。

「まずは、被害状況の把握に努め、被害の拡大がありえるかどうかの判断を行いました。被害拡大の可能性があるのならばなるべく早く公表するという判断になりますが、カード会社側である程度攻撃者の動きを掴んでいたのと、以前にサービスを停止した特設サイトであり新たな情報漏えいの可能性はないと考えられるため、まずは徹底的な調査を優先する方針を所内の議論により決定しました」(大迫氏)

事故対応に役立ったのが、マニュアルの存在だった。志布志市では数年前、ふるさと納税を巡る別のトラブルがあり、その反省からふるさと納税に関する危機管理マニュアルと危機管理広報マニュアルを2021年3月に整備していた。外部のコンサルティング企業の協力も得て、有事の際の対策本部の設置から、連絡体制、メディア対応や記者会見実施の手順まで詳細にルール化したものだ。危機管理マニュアルがあったことで、今回のような迅速な判断や対応につながったといえる。

議論に最も時間をかけたのは、情報公開のタイミングや内容、方法

情報公開のタイミングと内容を考えるうえでも、危機管理マニュアルは参考になったという。事故判明から約2カ月後となる2023年6月22日、志布志市は経緯や調査結果、対応策を詳述したプレスリリースを公表した。

クレジットカード関連の情報漏えい事故は詳細が明かされないことも多いが、志布志市のケースでは攻撃手法も含め、細部の情報まで公表したのが特徴的だ。大迫氏はこの理由について「危機管理マニュアルでも、まずは被害者の立場に立って、被害の可能性のある方々に説明できる状態にしていくことが重要とされており、今回も可能な限り情報公開をしようという方針を取った」と説明する。

ただ、関連機関や関係者も多いなか、どのような内容・タイミングで公表するかの判断は難しかったという。

「志布志市としてはなるべく早く情報公開をしたかったのですが、対応を間違えてしまうと、さらなる混乱を招くリスクもありました。情報公開のタイミングや内容、方法については、サイバーセキュリティを専門とする外部の弁護士に相談し、毎週ビデオ会議で打ち合わせをしながら慎重に検討を重ねました。ここの議論にいちばん時間をかけたと思います」(大迫氏)

大迫氏の一番の心配は、思いを持って特産品をつくる生産者、そして「志」を持って寄附をしてくれた被害者の方々だった。大迫氏は「そうした方々に寄り添って不安を解消できるよう、中途半端なものを出すよりは、詳細な調査結果を公表することで、真摯に対応している姿勢を示したかった」と振り返る。

プレスリリースの公開後1~2週間は問い合わせが相次いだという。最も多かったのは、寄附者による「自分は対象になっているかどうか」という質問だった。

今回の件では、第三者による不正アクセスを受けた2021年3月12日からWAFを採用するまでの同年12月29日までに、サイトを通じてクレジットカード決済を行った寄附者が対象となった。大迫氏は「具体的に誰が、というところまではわからないため、情報漏えいの可能性がある方々については、クレジットカードの交換と利用明細書の確認を呼びかけた」と話す。

ポイントは、日ごろの備えと「被害者目線」

その後は、セキュリティ管理体制の見直しや検証を進めるとともに、ふるさと納税のアドバイザーのサポートを受けながら、ほかのWebサイトやSNSアカウント管理の検証を実施。現在は、その結果を考慮したうえで、DX専門家である鹿児島大学の教授からアドバイスを受け、セキュリティ対策強化を進めているという。

今回の事故対応を振り返って、大迫氏は次のように教訓を語る。

「どこをみて仕事をするかということが最も重要。今回は何よりもまず、被害を受けた可能性のある方々の立場に立つということを強く意識していました。そのうえで、正しい情報を揃え、公表できるところはなるべく公表していく。こうした姿勢は、次にトラブルが生じた際にも参考になるものだと思います」(大迫氏)

危機的な状況でも、真摯な対応はかえって信頼を取り戻す転機となり得るようだ。「被害を受けた方の立場に立つことを最優先し、誠実に対応したことで、結果として信頼回復にもつながり得た」——。大迫氏はこう力強く語り、志布志市のふるさと納税に対する信頼回復への決意を新たにしていた。

事故対応においては、単に「迅速」「的確」であるだけでなく、被害者に寄り添い、共感することが肝要だ。加えて、志布志市のケースでは、日ごろからの備えと意識改革の重要性も浮き彫りになった。有事を想定したマニュアル整備はもちろん、日ごろからステークホルダーとの信頼関係を築いておくことが、危機管理の土台となる。