ナチュラムの個人情報漏洩とちょっとＩＴなお話

ナチュラムさんのサーバーに不正アクセスがあり、個人情報が漏洩した（かもしれない）というメールがウチにも来ました。

これについては、ブログ上でたくさんの記事がＵＰされています。
私もＩＴ業界のはしくれに身を置いている以上、何か書かないわけには．．．とちょっと突っ込んでみました。

今回の記事は文字ばかりで、IT絡みのちょっと難しいお話ももありますので、苦手な方はスルーっと
スルーする場合でも、クレジットカードでお買い物されたり、登録している方は、明細を確認するようにしてくださいね。
と言っても、今確認してもまだ載っていない（７月に漏洩して使用されると載るのは８月か９月の請求。ボーナス払いなら１２月。）と思いますので、今後しばらくの間は見ておいた方がいいでしょうね。

まず、各ブログで多い意見は、

・７月９日に発覚したのに８月まで通知が遅れた→遅すぎる
・対応としてナチュラムで買い物すれば５％ＯＦＦって→売上を伸ばそうとしているの？というのが多いですね。

これについては、ナチュラムの該当ページに、経緯と説明が書かれています。
が、まぁこの内容、ツッコミどころ満載なんですけど．．．

他には、

・パスワードを暗号化してなかったのかよ！
・このタイミングでＥコマース部門を独立させるなんて怪しい

というような内容も。

で、ナチュラムに対する批判はいくらでも書けるのですが、ではどうすればよかったのかということに対して書いてみます。

１．防止策

まず、こういう情報漏えいについての防止策が万全で無かったというのが根本的な原因。（万全というのは難しいですが）
特に今回は、メンテナンスサーバー経由でアクセスされたそうですが、本番のサーバーとは違って、メンテナンス機やテスト機というのは十分なチェックができないというのもわかりますが、やっぱり専用線なら別として、インターネット上に公開しているサーバーは、すべて本番サーバーと見なしてセキュリティを掛けないとね。

で、先の記事及びＦＡＱを読むと、ＳＱＬインジェクションの類ではなく、バックドアの方法にて情報が取られたとか。

このバックドアというのは、スパイウェアと同じように、コンピュータにあらかじめプログラムを置いておき、スパイウェアはそのプログラムが情報を外部に送信するのに対し、バックドアは、あるユーザー／パスワード、ＩＰアドレス他、特定のアクセスに対して、閲覧、書き込み、削除等すべてを許可してしまう（つまりドアを開ける）ような手法です。
つまりは、私のＩＤでナチュラムさんにログインすると（ブログではなく、ＴＥＬＮＥＴやリモートディスクという類）、スーパーユーザーの権限で何でも見れるということです。

この仕掛けられたプログラムが動き出す（これを使ってアクセスしようとする）までに、すぐ発見できれば被害は無かったのですが、発見されたのは動いた後。
毎日ウイルスチェック、スパイウェアのチェック等をしていれば、もしかしたら発見できたかもしれません。（防止策１）

また、チェックを十分に行っていても、盗まれる場合もあります。
その為に、盗まれても使用できない（しにくい）ようにしておくというのも大事な要素です。

まず一番初歩的なところではパスワード等は暗号化しておくということ。
（これすらやっていなかったようですが．．．）
次に通信の暗号化や秘密分散。

通信の暗号化については、ＳＳＬというような方式で現在でも行われていますが、これは通信上での盗聴に対してガードするので、ディスク等に保存しているデータには無力です。

秘密分散。
これをやっていなかったのが致命的かもしれません。
秘密分散の説明は長くなるので省略しますが、要約すると「ｎ個の要素が決まるとｍ個が特定できるような関係を作る」ということです。

例えば、顧客マスタのパスワードが「1234」となっていたとします。
ここで、関係式を

Ｙ＝２Ｘ＋Ｓ　　（Ｓが復元する値です。）

とすると、１byte単位で考えて、１byte目の「１」は、

Ｙ＝２Ｘ＋１

を満足するＸ，Ｙの値、例えばＸ＝２、Ｙ＝５としておきます。
２Ｂｙｔｅ目は「２」ですから、

Ｙ＝２Ｘ＋２

を満足するＸ，Ｙの値、Ｘ＝１、Ｙ＝４
同様に、３byte目「３」、４byte目「４」も、

Ｘ＝２、Ｙ＝７
Ｘ＝１、Ｙ＝６

となります。

これを２分割のデータに保有すると、

顧客マスタＡ
　　　　　　　　　　２１２１
顧客マスタＢ
　　　　　　　　　　５４７６

という風に格納されます。
元に戻すときには、Ｙ＝２Ｘ＋Ｓにそれぞれを代入するとＳが特定されるので、１２３４が復元できます。
これで片方を盗まれても、復元はできません。（実際には５、６分割ぐらいにしておくのが一般的でしょう。）

問題は、Ｙ＝２Ｘ＋２を満足するＸ，Ｙと言っても一杯あるので、どの組み合わせを選ぶかということになりますが、これはある条件や法則で決められます。

これが一般的な秘密分散法ですが、まぁ暗号化とそう変わりは無い感じもするでしょうね。
でも、この方法はいろいろ応用が利いて、アプリケーション（プログラム）の中に入れることでも、盗まれても解読しにくいデータは実現できます。

応用例として、

顧客マスタに、ユーザーＩＤ、氏名、パスワード、カード番号を持っているとします。
これを１ファイル（テーブル）で持っていると、暗号化していないかぎりこのデータが盗まれると、すべてが結びついてバレてしまいます。

が、これをいくつかのファイル（テーブル）に分けて持ち、秘密分散法の応用で関連付ければどうでしょう。

構造は、

顧客マスタ
　　ユーザーＩＤ、氏名、ｋｅｙ１、ｋｅｙ２
パスワードマスタ
　　key１、パスワード
カード情報マスタ
　　Key２、カード番号

のようにします。
ここで、顧客マスタのKey1、Key2と、各マスタのKey1、Key2に同じ値を持っていれば何にもならないのですが、この関係を先ほどのように式による関係付けで表します。

パスワードは、Ｙ＝５Ｘ＋１００
カード情報は、Ｙ＝２Ｘ－３０

という式を定義します。

すると、

顧客マスタ

USER00001　：　ナチュラム太郎　：３００：９００
USER00002　：　ナチュラム花子　：２００：５０

パスワードマスタ

１６００：PASSWORD01
１１００：PASSWORD02

カード情報マスタ

１７７０：123-456-7890
００７０：987-654-3210

というようになります。
上の２つの式がわかっているので、ナチュラム太郎さんのパスワードは、

５×３００＋１００＝１６００

でPASSWORD01だと特定できます。

このような作りにしておくと、万が一すべてのデータが盗まれても、この式さえわからなければマッチングにはすごい手間隙がかかります。（パスワードやカード番号がわかっても誰のものかもわからない．．．という状態）

ここでは２つの値の関係式でしたが、もっと分散して５つぐらいの変数の式にしておけば、「４つがわからない限り最後のひとつは特定できない」状態になり、その４つの関係も式がわからないとなかなか判明できない状態となるので、安全性が高いとされています。

こういう手法を使っていれば、被害はもっと少なかったかもしれません。（防止策２）

ただし、システム内ではこういう式を使って関連付けるプログラムや復元する処理は用意していないと、通常の処理が動かせませんから、当然「個人情報設定」のページ等で動かす部分は、こういう内部的なところは自動的に復元してくれます。
もし、不正アクセスでそのプログラムを利用されると、暗号化や秘密分散ということをやっていても何の役にも立たないということになってしまいます。


２．発生後の対応

ユーザーへの連絡が遅くなったことに対しても、一応説明はされています。

これは、流出の可能性のあるお客様全員にご連絡をさせていただくために必要な作業でした。
流出の可能性のあるデータの件数が65万件強と膨大であったため、名寄せ作業等時間がかかり、最終的には7月28日、流出の可能性のある最大値として数字を確定させました。
（上記ナチュラム該当ページより引用）

これによると、被害の調査と名寄せ作業に時間が掛かった．．．ってどこかで聞いたような内容ですなぁ？（社会保険庁？）

しかし、５％割引の説明のところでは、

流出の可能性があるお客様 653,424件の中には

・ご住所が不明な方　(メルマガ登録のみ、ブログ登録のみのお客様)
・会員登録をされずお買い物された方　(ナチュラムは会員でなくとも買い物ができます)
が多数いらっしゃいました。
（上記ナチュラム該当ページより引用）

となっています。

この多数に対しては、連絡の取りようが無いわけで、名寄せも何も無いと思うんですけどね？
他はメールアドレスや住所があるので、名寄せは必要ないし．．．

ではどうするべきだったか？

顧客マスタなんて６５万件あろうと、
Ａ．メールアドレスが登録されている人、
Ｂ．メールアドレスは未登録で住所が登録されている人、
Ｃ．どちらも登録されていない人。
のようなリストはすぐに作成できます。

この６５万件というのが判明した時点で、Ａ．の人にはまず一報のメールを入れるべきです。内容は、

・情報漏洩があったかもしれない
・現在調査中で判明しだいメール及びＨＰに経緯説明を行う
・当面クレジットカードの明細はチェックしておくよう要請
・スパムメール他が増大するかもしれないので、当面ウイルスチェック等を頻繁に行うように

というぐらいの内容でいいと思います。

Ｂ．の人にはタックシールに住所を印刷して、同じような文面のはがきぐらいを送ればいいでしょう。

Ｃ．の人にはカード番号さえ登録されていなければ（カードで買い物していなければ）実質の被害はあまり無いわけですから、ＨＰ上のお詫びぐらいで良いでしょうね。

ということをまずやっておけば、もうちょっと皆さんの怒りも少なかったかもしれません。


長くなりましたが、最後に、こういう経験は少なかったのかもしれませんが、リスク（危機）管理（特に情報漏洩に対して）のガイドラインやマニュアルが整備されていなかったのでしょうね。

そこが一番の問題かな？


情報漏えいで５００円の金券を送られる（某○○○○BANK）のと５％割引と、どっちが得かなぁ．．．あ、いやいや損得ではありませんよ、こういう問題は．．．


※追記
秘密分散の応用例に挙げたものはあくまでも説明しやすいようにした物です。
実際には、もっと複雑な式でないと、何件か当たっていると関係式が判明してしまう危険性がありますので。


追記２）
こういう持ち方もあります。（こっちの方がバレ難い？）

式　：　Ｙ＝２Ｘ＋Ｓ

顧客マスタ（Ｓ）

　　USER001　：　ナチュラム太郎　：　０２０
　　USER002　：　ナチュラム花子　：　０５０

パスワードマスタ（Ｘ）

　　０１０：PASSWORD01
　　０４０：PASSWORD02

カード情報マスタ（Ｙ）

　　０４０：123-456-789
　　１３０：987-654-321

ま、要するに重複無く、関係付けがわかにくくするというのがポイントです。

あなたにおススメの記事