「SPIRAL EC®」への不正アクセスによる個人情報流出について(続報)|プラットフォームを活用したソリューション提供のパイプドビッツ

「SPIRAL EC®」への不正アクセスによる個人情報流出について(続報)

このたび、弊社が提供するアパレル特化型ECプラットフォーム「スパイラルEC®」により構築されたサイトにおいて、外部からの不正アクセスがございました。調査の結果、一部の個人情報が流出したことが判明いたしました。お客様及び関係者の皆様に多大なるご迷惑、ご心配をおかけしますことを深くお詫び申し上げます。また、発生から被害状況の確認までに時間を要してしまいましたことを重ねてお詫び申し上げます。

本ページは、第1報発表(2016/6/22)後の続報を掲載しております。


これまでの続報

第4報「安全性確認及び脆弱性診断の結果報告」(2016.7.27発表)

 先般ご報告しましたスパイラルEC®への不正アクセスによる個人情報流出について、スパイラルEC®及びスパイラル®に対して現状のシステムの安全性をあらためて総点検し、安全性が確認されましたので、ご報告申し上げます。また、安全性確認過程における脆弱性診断結果をふまえ、今後のシステムの安全性を維持するための安全性強化策をまとめましたので、併せてご報告申し上げます。
 なお、本報告の内容は、第3報でご報告した社外セキュリティ専門家の技術顧問を含む緊急セキュリティ対策会議において、安全性確認の手続き及びその結果の妥当性と有効性を確認しております。
 今後も引き続き、お客さまからのご信頼を回復すべく、全力でセキュリティ強化に取り組んでまいります。

1.現状のシステムの安全性について

 現状のスパイラルEC®及びスパイラル®のシステムについて、以下の6つの観点から安全対策及び安全性を確認しました。

  1. 1) 新たな不正侵入から防御されていること
  2. 2) 不正アクセスを早期検知する仕組みを整備していること
  3. 3) システム内部に不審なファイルが存在しないこと
  4. 4) システム内部に不審な処理や通信が存在しないこと
  5. 5) 連携サービスへの不審な接続が存在しないこと
  6. 6) スパイラルEC®への不正アクセスがスパイラル®に影響しないシステム運用体制であること
1.1. 新たな不正侵入から防御されていること

  今回、スパイラルEC®への不正アクセスの原因となった脆弱性及び管理画面に対するブルートフォース攻撃を含む不正ログインを防ぐために下表の対策を完了しました。また、脆弱性診断で指摘された脆弱性の対応を完了しました。
これにより、新たな不正侵入から防御されていることを確認しました。

確認内容 / 対策 スパイラルEC® スパイラル®
WebDAVサーバのパスに対するPUTメソッドの無効化 6/16 完了 該当なし
リバースプロキシにおけるファイル拡張子制限の強化 6/19 完了 該当なし
攻撃元IPアドレスからの通信遮断 6/17 完了 6/17 完了
管理画面へのブルートフォース攻撃対策
┗ 管理画面パスワード長と文字種の強化 7/11 完了 既存機能で対応済み
┗ ログインロック機構の強化 7/11 完了 既存機能で対応済み
┗ パスワード内部保持仕様の変更
 (ソルト変更、ストレッチング)
7/21 完了 バージョン1.12で変更予定
┗ 全管理者のパスワード変更 7/21より変更依頼 該当なし
┗ 管理画面の接続元IPアドレス制限 既存機能で対応済み 既存機能で対応済み
┗ 管理画面のクライアント認証 今後の強化策の中で検討 既存機能で対応済み
脆弱性診断により指摘された脆弱性の修正及び修正までの期間に攻撃影響が無かったことの確認 7/25 完了(会員登録及び注文完了ページのCSRF) 7/25 完了(ガジェット及び掲示板のXSS、掲示板及び編集可能一覧表のCSRF)
1.2. 不正アクセスを早期検知する仕組みを整備していること

  不正アクセス及びその試行を早期に検知し、システムに侵入される前に、攻撃者からの通信を遮断するための仕組みを整備しました。

確認内容 / 対策 スパイラルEC® スパイラル®
Webアクセスログに記録される攻撃パターンの監視 7/11より継続中 7/11より継続中
検知された攻撃パターンのアクセス元IPアドレスからの通信を遮断するプロセスの確立 7/1より継続中 7/1より継続中
管理画面のログイン通知 6/30 完了(ログインエラーの場合にシステム管理者への通知) 既存機能で対応済み
1.3. システム内部に不審なファイルが存在しないこと

 スパイラルEC®への不正アクセスにより設置された不正プログラム及び不審ファイルの削除、並びにWebDAVサーバのリプレイスにより不審なファイルが存在しないことを確認し、今後も不審なファイルが設置されないように監視する仕組みを整備しました。

確認内容 / 対策 スパイラルEC® スパイラル®
設置された不正プログラム及び不審なファイルの削除 6/15 完了 該当なし
ユーザがアップロードする領域以外の領域に対するファイル改ざん検知による監視 既存監視で対応済み 既存監視で対応済み
ユーザがアップロードする領域であるWebDAVサーバにおける不審ファイル(許可されていない拡張子ファイル)存在監視の強化 6/15完了 該当なし
定期的なウィルスフルスキャンの実施 6/20より継続中 6/20より継続中
差分チェックによるWebDAVサーバコンテンツの改ざんがないことの確認 6/22完了 該当なし
WebDAVサーバのリプレイス及びOS、ミドルウェアバージョンの最新化 6/30完了 該当なし
1.4. システム内部に不審な処理や通信が存在しないこと

 不審なファイル以外にも、万が一、何らかの形で不審な処理や通信が存在することが無いように、以下の確認及び監視設定を行いました。

確認内容 / 対策 スパイラルEC® スパイラル®
システム外部への不審な通信の監視 6/28より継続中 7/25より継続中
sshに対する不審な接続試行が無いことの確認と監視 6/21 完了
7/25再確認完了
7/25 完了
不審な稼働プロセスが無いことの確認と監視 6/21 完了
7/25再確認完了
7/25 完了
不審なオープンポートが無いことの確認と監視 6/21 完了
7/25再確認完了
7/25 完了
不審なOSユーザが存在しないことの確認と監視 6/21 完了
7/25再確認完了
7/25 完了
WebDAVサーバにおいてOSとミドルウェアのバージョンを6/30に最新化することに併せて、現在のPHPバージョンのChangeLogを確認することによる、権限昇格脆弱性が存在しないことの確認 7/8 完了 該当なし
DB定義差分チェックによるDB改ざんが無いことの確認 6/19 完了 7/25 完了
DBサーバで異常処理(通常発生しない例外)が発生していないことの確認と監視 7/25 完了 7/25 完了
1.5. 連携サービスへの不審な接続が存在しないこと

 スパイラルEC®への不正アクセスにより、連携しているクレジットカード決済代行サービスとの接続設定情報を閲覧されたアカウントが存在します。そのため、接続設定を変更し、変更完了までの間に決済代行サービスに対しての不審な接続が無かったことを、決済代行サービス会社のログ調査により確認しました。

確認内容 / 対策 スパイラルEC® スパイラル®
決済代行サービス接続設定の変更 7/21 完了 該当なし
決済代行サービスへの不正通信が無いことの確認 6/24 完了
7/21 再確認完了
該当なし
1.6. スパイラルEC®への不正アクセスがスパイラル®に影響しないシステム運用体制であること

 スパイラルEC®とスパイラル®とは以下のとおりにシステム運用体制が異なりますので、スパイラルEC®への不正アクセスがスパイラル®に対しては影響しないことを再確認しました。

  1. 1) サーバラック、サーバ機器、ネットワーク機器及び回線はスパイラルEC®専用のものを使用しています。
  2. 2) OSユーザ(特権及び一般)のパスワードはスパイラルEC®とスパイラル®とは異なるものを使用しています。
  3. 3) 保守管理用のサーバアクセス経路について、スパイラルEC®とスパイラル®とは異なるゲートウェイサーバを経由し、またアクセス用のIDとパスワードは異なるものを使用しています。

2.脆弱性診断結果について

 「1.現状のシステムの安全性について」において現状のシステムの安全対策及び安全性の確認を行うにあたり、これらの確認の妥当性を確認するため、システムに対して第三者の専門機関2機関及び自社による脆弱性診断を実施しております。
 過去の第三者機関による脆弱性診断において、スパイラルEC®への不正アクセスの原因となったプロキシを通じてWebDAVサーバにPUT可能である問題を発見できなかったのは、問題の対象が特定のURLパス以下のみで発生し、診断に利用されたツールが標準で保有する多数の検査パスリストに含まれず、診断されていなかったことが原因でした。そのため、Webページをクローリングして、URLパスを網羅的に洗い出し、診断するツールも使用して診断を実施しました。

2.1. 第三者機関による脆弱性診断の診断内容

 第三者機関として2社のセキュリティ診断会社に依頼し、脆弱性診断を実施しました。 脆弱性診断は大きく、プラットフォーム診断とWebアプリケーション診断に分類できます。プラットフォーム診断は主にOSやWebサーバ等のミドルウェアの観点を中心に脆弱性を発見します。アプリケーション診断は主にWebアプリケーションプログラムの観点を中心に脆弱性を発見します。それぞれの診断項目及びアプリケーション診断の対象機能は以下のとおりです。

プラットフォーム診断の診断項目
  • ・ポートスキャン診断(TCP/UDP)
  • ・ポートスキャンによって提供が確認されたサービスに対し、コマンド送信等の実施による、サービス情報の取得や挙動の確認
  • ・市販の脆弱性診断ツールを用いた、アプリケーションのバグや設定不備による脆弱性の検出
  • ・診断会社独自のツールを用いた、メールサーバ及びWebサーバに対する20,000項目程度のより詳細な診断
  • ・脆弱点及びアクセス可能ポートに対する人手による侵入診断
アプリケーション診断の診断項目
  • ・パラメータ操作や入出力処理(クロスサイトスクリプティング、SQLインジェクション、OSコマンドインジェクション等)
  • ・アカウント管理及び認証(ユーザ認証、ブルートフォース攻撃耐性等)
  • ・セッション管理(CookieやセッションIDの使用状況、セッションハイジャック、クロスサイトリクエストフォージェリ等)
  • ・重要情報の取り扱い
  • ・システム情報(ディレクトリリスティング等)
  • ・その他
診断対象のアプリケーション機能

 アプリケーション診断では、エンドユーザ向け機能、管理画面ログイン、管理画面内部の3つの機能分野において診断対象を定めました。
 エンドユーザ向け機能は、スパイラルEC®で構築されたサイト上で会員登録~商品閲覧~カート投入~注文の一連の機能を網羅します。スパイラル®では特にデータの入出力(Webフォーム、一覧表・単票)及び認証エリア(マイエリア)の機能を網羅しています。
 サイトやアプリケーションの設定を行う管理画面(操作画面)については、その内部への入り口となる管理画面ログインを、各管理ユーザ種別及びログインURLに対して診断を実施しました。管理画面内部の機能については、ログイン画面で防御していることと利用規約等の契約関係を持つユーザのみがアクセス可能なことから、データ操作を行う主要な機能を対象とし、特にログイン画面を迂回して管理画面内部の機能にアクセスされることが無いように確認しました。他の管理画面機能については後述のとおり、継続的で高頻度な脆弱性診断を行う中で診断します。

【スパイラルEC®】
・エンドユーザ向け機能
・新規会員登録
・会員情報変更
・メルマガ会員登録(仮登録、本登録)
・注文(入力~確認~完了)
・同梱注文(対象注文選択~支払方法選択~確認)
・管理画面
・ログイン
・データダウンロード(検索結果)
・データダウンロード(一括)
【スパイラル®】
・エンドユーザ向け機能
・マイエリア(ログイン認証、マイページ)
・Webフォーム(登録、更新、削除)
・一覧表・単票
・掲示板(トピック、コメント)
・ガジェット
・ステップアンケート
・管理画面
・ログイン(担当者ID、マルチアカウント)
・ログイン後画面(規約同意)
・DBオペレーション
・データ一括出力
2.2. 第三者機関による脆弱性診断の診断結果

 診断の結果、危険度ごとの指摘件数は以下のとおりでした。危険度高、中は攻撃による影響がある可能性があるもの、低はシステムの一般的な情報の開示等、実害に至る可能性が低いものを表します。危険度高、中と報告されたものに対しては、対応策を示します。

【スパイラルEC®】
診断結果サマリ
診断対象
プラットフォーム診断 0 1 1
エンドユーザ向け機能 0 1 2
管理画面 0 1 5
指摘事項と対応策
診断 指摘事項 危険度 対応策
プラットフォーム 管理画面ログインにおいてパスワード認証を試行可能 7/11に3回のログイン失敗で30分間ログインロックを行う修正パッチを適用完了
アプリケーション(エンドユーザ向け機能) メルマガ会員登録及び同梱注文送信時にクロスサイトリクエストフォージェリ脆弱性が存在 7/25に修正パッチを適用完了し、修正までの期間に攻撃影響が無かったことの確認を完了
アプリケーション(管理画面) 脆弱なパスワードの許容 7/11にパスワード文字長、文字種制限の強化を行う修正パッチを適用完了。また、ログインエラー通知及びログインロック機能をリリース完了しており、ブルートフォース攻撃を防ぎます。
【スパイラル®】
診断結果サマリ
診断対象
プラットフォーム診断 0 0 1
エンドユーザ向け機能 0 2 5
管理画面 0 0 2
指摘事項と対応策
診断 指摘事項 危険度 対応策
アプリケーション(エンドユーザ向け機能) 掲示板及びガジェット(カレンダー、商品レビュー)機能にクロスサイトスクリプティング脆弱性が存在 7/25に修正パッチを適用完了し、修正までの期間に攻撃影響が無かったことの確認を完了
アプリケーション(エンドユーザ向け機能) 編集可能一覧表及び掲示板機能にクロスサイトリクエストフォージェリ脆弱性が存在 7/25に修正パッチを適用完了し、修正までの期間に攻撃影響が無かったことの確認を完了
2.3. 自社による脆弱性診断の診断内容及び結果

自社による脆弱性診断として、以下のとおりプラットフォーム診断及びWebアプリケーション診断を実施しました。

  • ・脆弱性スキャナ「OpenVAS」を用いた、全グローバルIPアドレスを持つサーバに対してのプラットフォーム診断
  • ・URLクローリングを行う脆弱性診断ツール「w3af」を用いた、Webアプリケーション診断
  •  診断の結果、危険度ごとの指摘件数は以下のとおりでした。情報漏えいに関する脆弱性は指摘されず、DoS攻撃(サービス妨害攻撃)に関しての指摘事項はありましたが、下記のとおり対策を行い、異常を検知した場合には通信遮断等の対応を速やかに行います。
     危険度高、中は攻撃による影響がある可能性があるもの、低はシステムの一般的な情報の開示等、実害に至る可能性が低いものを表します。危険度高、中と報告されたものに対しては、対応策を示します。
【スパイラルEC®】
診断結果サマリ
診断対象
プラットフォーム診断(OpenVAS) 1 2 0
アプリケーション診断(w3af) 0 1 1
指摘事項と対応策
診断 指摘事項 危険度 対応策
プラットフォーム診断 SMTPにおけるアンチウィルススキャナーに対するサービス不能 (DoS)攻撃可能性(SMTP antivirus scanner DoS) 本件サービスではメールボックス機能は提供しておらず、添付ファイルを扱う処理はなく破棄するため当該DoS攻撃の影響はありません。またSMTPサービス監視により異常を検知した場合は、速やかに対応する体制を取っております。
現時点までに本脆弱性を突くDoS攻撃によるサービス停止等の影響はありません。
プラットフォーム診断 TCPシーケンス番号の予測に基づくサービス不能 (DoS)攻撃可能性(TCP Sequence Number Approximation Based Denial of Service) TCPに関する問題であり、特に影響があるとされるBGPは使用していないため、影響を受ける可能性は低いと認識しておりますが、情報収集を継続いたします。なお、DoS攻撃について、サービス監視により異常を検知した場合は、速やかに対応する体制を取っております。
現時点までに本脆弱性を突くDoS攻撃によるサービス停止等の影響はありません。
プラットフォーム診断 TCPタイムスタンプが有効(TCP timestamps) TCPに関する問題であり、情報収集を継続いたします。なお、DoS攻撃について、サービス監視により異常を検知した場合は、速やかに対応する体制を取っております。
現時点までに本脆弱性を突くDoS攻撃によるサービス停止等の影響はありません。
アプリケーション診断 データダウンロード(一括)及び注文検索結果画面のダウンロード機能におけるクロスサイトリクエストフォージェリ脆弱性(CSRF vulnerability) 本機能でCSRFを成立させるためには、有効なセッションの中で管理画面のURL及びパラメータの悪用が必要となりますが、対象ユーザが限定的であることやパラメータ等の情報収集が比較的困難であること、成立時は攻撃者ではなく正規ログインユーザに対してデータダウンロードが実行されるため実害はないと判断しております。
【スパイラル®】
診断結果サマリ
診断対象
プラットフォーム診断(OpenVAS) 1 2 0
アプリケーション診断(w3af) 0 1 2
指摘事項と対応策
診断 指摘事項 危険度 対応策
プラットフォーム診断 SMTPにおけるアンチウィルススキャナーに対するサービス不能 (DoS)攻撃可能性(SMTP antivirus scanner DoS) 本件サービスではメールボックス機能は提供しておらず、添付ファイルを扱う処理はなく破棄するため当該DoS攻撃の影響はありません。またSMTPサービス監視により異常を検知した場合は、速やかに対応する体制を取っております。
現時点までに本脆弱性を突くDoS攻撃によるサービス停止等の影響はありません。
プラットフォーム診断 TCPシーケンス番号の予測に基づくサービス不能 (DoS)攻撃可能性(TCP Sequence Number Approximation Based Denial of Service) TCPに関する問題であり、特に影響があるとされるBGPは使用していないため、影響を受ける可能性は低いと認識しておりますが、情報収集を継続いたします。なお、DoS攻撃について、サービス監視により異常を検知した場合は、速やかに対応する体制を取っております。
現時点までに本脆弱性を突くDoS攻撃によるサービス停止等の影響はありません。
プラットフォーム診断 TCPタイムスタンプが有効(TCP timestamps) TCPに関する問題であり、情報収集を継続いたします。なお、DoS攻撃について、サービス監視により異常を検知した場合は、速やかに対応する体制を取っております。
現時点までに本脆弱性を突くDoS攻撃によるサービス停止等の影響はありません。
アプリケーション診断 ライブラリJSファイルにおけるクロスサイトリクエストフォージェリ脆弱性(CSRF vulnerability) 指摘箇所はJavaScriptであり、内容を緊急セキュリティ対策会議で精査した結果、脆弱性は確認されず誤検知と判断しております。
2.4. 脆弱性診断結果に対する緊急セキュリティ対策会議によるレビューの実施

 以上のとおり、現状のシステムの安全性を確認し、第三者の専門機関及び自社による脆弱性診断を実施し、対策を講じておりますが、さらに、社外セキュリティ専門家の技術顧問にこれら安全性確認の手続きの妥当性と対策の有効性を確認するため2016年7月15日、22日、26日に緊急セキュリティ対策会議を開催しました。前記脆弱性診断内容、結果、対策について報告し、妥当性及び対策の有効性について確認及びご意見をいただき、いただいたご意見については、既に本報告に反映しております。
 なお、緊急セキュリティ対策会議では、脆弱性診断結果のみならず、現状のシステムの安全対策、今後のシステム環境の堅牢化対策及び安全性強化策についても有効性と妥当性を確認いただいております。

3.今後のシステム環境の堅牢性強化について

 上記により現状のシステムの安全性を確認しておりますが、今後、不正アクセスからの防御のみならず、攻撃及び侵入の早期検知と、万が一、侵入された場合にも重要情報にアクセスできないようにすることで被害を低減することを目的として、システム環境の堅牢性をさらに強化してまいります。現時点で、2017年2月期末までに実施を予定しているシステム環境堅牢化対策は以下のとおりです。

  • 1)

    WAF(Web Application Firewall)を導入し、攻撃早期検知と防御強化を図ります。

  • 2)

      OS及びミドルウェアのバージョンアップとサーバのリプレイスを進め、保守サポート切れによる脆弱性のリスクを低減します。

    • 3)

      システム構成の多段化及びシステム内サーバ間の接続防御を強化し、たとえ不正侵入があった場合でも、データ領域までのアクセス経路を困難にすることで、重要なデータにアクセスできないようにします。

    • 4)

      WebDAVサーバの書込み認証設定や、アプリケーション実行ユーザの実行権限の制限強化等の被害軽減策を行います。

    • 5) 

      不正侵入を受けた際に、攻撃者によるシステム操作コマンドの実行を検知してアラートを発する仕組みを導入します。

    4.再発防止のための安全性強化体制について

     今後、システムへの攻撃の多様化やシステムの刷新に伴うリスクに直面し続けることが想定される中、システムの安全性を今後も維持、継続してゆくために、以下のとおり、一層のセキュリティ強化及び監視体制の強化を図ります。

    • 1)

      第3報でご報告のとおり、弊社のセキュリティ強化に関する戦略及び強化施策の策定、開発・運用に関するセキュリティ管理体制の構築と育成、応急的対策及び再発防止策の評価や追加施策の検討等を目的として、2名の社外セキュリティ専門家を弊社の技術顧問に迎え、定例の緊急セキュリティ対策会議を設置しました。

    • 2)

      不正アクセス防御や脆弱性のみならず、システムの構築(設計、コーディング等)~検証~デプロイ(運用、監視等)及びガバナンスといった、システム開発・運用全体の観点からセキュリティ強化を図ります。

    • 3)

      従前から行われている日常業務におけるセキュリティや個人情報保護に関するトレーニング及びテストのみならず、設計・開発業務においてもセキュアな開発を行うためのトレーニングを体系化し、テストにより水準を確認できるように教育と指導を強化します。

    • 4)

      これらのセキュリティ強化策の進捗及び効果の把握のため、開発・運用に係るガバナンスの組織的・継続的な指標を用いた状態の可視化を行い、強化が必要なセキュリティ対策の把握と実施に取り組んでまいります。

    • 5)

      セキュリティ専門会社とのセキュリティ診断年間サービスを契約し、早期、継続的、高頻度な脆弱性診断を実施します。

    • 6)

      セキュリティ推進部はJPCERT/CC等の外部機関との連携、コミュニケーションを強化し、脆弱性情報の早期共有と対応の迅速化に努めます。

    • 7)

      情報セキュリティマネジメントシステムの基本方針に基づき、CISO(最高情報セキュリティ責任者)を委員長とする情報セキュリティ委員会により、前記の全社横断的な情報セキュリティ向上施策の計画、運用、監視、維持、改善を実行します。

    • 8)

      社長直轄の不正アクセス対策室が、前記情報セキュリティ委員会によるガバナンスが有効に機能していることを監査します。不正アクセス対策室は、弊社提供各サービスに対する定常的な脆弱性の診断と、脆弱性攻撃手法及びその監視、防御に対する調査・研究を専門的に取り組みます。定期的に計画的及び抜き打ちで、システムの脆弱性や不正アクセスの早期検知が有効に機能していることを検査します。

    以上

    第3報(2016/7/15発表)

     先般ご報告しました「スパイラルEC®」への不正アクセスによる個人情報流出について、報告後に実施した対策の進捗と今後の予定について、下記のとおりご報告申し上げます。

    1.「4.応急的な対応」に関する追加報告
    ~ 第2報(2016年6月30日)後に実施した対策 ~

    2016/7/11 管理画面のログインに必要なパスワード長及び文字種を強化しました。また、ログイン失敗時に該当アカウントを一定時間ロックする機能をリリースし、ブルートフォース攻撃への対応を強化しました。
    Webアクセスログをチェックし、外部からの攻撃的なアクセスが存在しないかをチェックする仕組みを導入しました。
    2016/7/12 外部サーバへの不審な通信が発生していないことを監視する仕組みを導入しました。

    2.「10.再発防止」に関する追加報告
    ~ 社外セキュリティ専門家の技術顧問就任及び緊急セキュリティ対策会議の設置について ~

     弊社のセキュリティ強化に関する戦略及び強化施策の策定、開発・運用に関するセキュリティ管理体制の構築と育成、応急的対策及び再発防止策の評価や追加施策の検討等を目的として、2名の社外セキュリティ専門家を弊社の技術顧問に迎え、定例の緊急セキュリティ対策会議を設置しました。
     技術顧問には、HASHコンサルティング株式会社代表取締役 徳丸浩氏、株式会社アスタリスク・リサーチ代表取締役 岡田良太郎氏が就任しました。両氏の略歴は以下のとおりです。

    【徳丸浩氏 略歴】

    イー・ガーディアングループ HASHコンサルティング株式会社代表取締役
    独立行政法人情報処理推進機構(IPA)非常勤研究員。技術士(情報工学部門)
    OWASP Japanアドバイザリーボードメンバー

     1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社を設立。
     脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。2015年よりイー・ガーディアングループに参画。

    【岡田良太郎氏 略歴】

    株式会社アスタリスク・リサーチ代表取締役 エグゼクティブ・リサーチャ
    OWASP Japan Chapter Leader
    日本CISO協会 アドバイザ
    ビジネス・ブレークスルー大学大学院客員研究員・同大学非常勤講師

     ビジネス活動にセキュリティを実現するコンセプト"Enabling Security"を掲げ、技術とビジネスの両方の視点からリサーチ・コンサルティングに従事している。中立的な連携プロジェクトとして、WASForum Hardening Project(ワスフォーラム・ハードニングプロジェクト)オーガナイザを務める。またグローバルコミュニティ OWASP(オワスプ)のJapanチャプターのリーダーを務め、2014年にThe OWASP Foundationより"Best Chapter Leader"を受賞。
     ビジネス・ブレークスルー大学(学長:大前研一)の「教養としてのサイバーセキュリティ」を担当。IPA情報セキュリティ10大脅威選考会、総務省の実践的サイバー防御演習CYDER分科会委員など公共活動にも従事。CISA、MBAを保持。

    以上

    第2報(2016/6/30発表)

     先般ご報告しました「スパイラルEC®」への不正アクセスによる個人情報流出について、報告後に実施した対策の進捗と今後の予定、先般の報告に対しての補足説明について、下記のとおりご報告申し上げます。

    1.「4.応急的な対応」に関する追加報告
    ~ 初報(2016年6月22日)後に実施した対策 ~

    2016/6/27 弊社全サービスにおいて不正IPアドレス帯からの通信を遮断しました。
    2016/6/30 スパイラルEC®において、会員パスワードの強化(パスワード長と使用可能文字種の拡張)をリリースしました。
    今回、攻撃を受けたWebDAVサーバを新たなサーバに置き換えました。不審なファイルは除去したものの、万が一にも、発見できなかった悪意のあるファイルが残ることの無いように、サーバを新しいものにしました。

    2.「10.再発防止」に関する追加報告
    ~ 2016年6月30日現在 実施中の対策 ~

    2016/6/29
    ~ 7/27(診断完了日)
    スパイラル®、スパイラルEC®、スパイラルプレース®、ネットde会計®、ネットde青色申告®のプラットフォームに対して、特に最新の脆弱性が無いことを確認するために、第三者である専門機関による脆弱性診断を実施します。診断結果につきましては、診断内容及び診断結果の概要を、診断結果の分析と対策完了後に、本事故報告特設ページ上でお知らせする予定です。

    3.「10.再発防止」に関する補足説明
    ~ 「不正アクセス対策室」新設の背景と狙い ~

      従来、不正アクセスの防御に関しては、情報セキュリティ委員会によるマネジメントのもと、システムの開発・運用部門が中心となって監視・対策を行ってきました。今回の反省を踏まえ、他の業務に影響されることなく定常的に不正アクセスに関する業務に専念し、開発・運用部門の防御対策を内部から実行力を持って監視する独立した組織を組成することで、牽制を効かせ防御力を高めることを狙っております。
     防御対策に取り組む開発・運用部門では、自社内完結型から外部のセキュリティ有識者のセカンドオピニオンを得られる体制に変更し、防御力を強化いたします。
     一方、攻撃側の視点で対策に取り組む、不正アクセス対策室は、社内ハッカーと外部のハッキング専門家との連携体制を構築し、各サービスに対する脆弱性の発見力を高め、結果として脆弱性攻撃手法及びその監視、防御に対する調査・研究の実効性と専門性を高める方針です。

    以上
    本ページの作成日:2016/6/30
    本ページの更新日:2016/7/27