サイバー攻撃を受けたのは、開発会社が脆弱なサイトを作ったせい？

　あるECサイトがサイバー攻撃を受け、顧客のクレジットカード情報が流出した。この事件に関して、ECサイト側が、攻撃を受けたのは開発会社が安全対策を怠ったシステムを構築したためだとして、ECサイトの受注システムを開発した会社を訴えた。


　同ECサイトが攻撃を受けたのは2011年ごろと過去の裁判事例であるが、2014年秋にソフトウェア情報センター（SOFTIC）が主催する判例の研究会の中で取り上げられ、関係者やセキュリティ専門家もブログやSNSなどで話題にしている。

　裁判の詳細については、SOFTICのサイトに、判例ゼミの資料として判決文の内容が公開されている。概要を整理してみよう。

システムの問題か運用の問題か

　判決文によると、まず原告側のECサイトは、クレジットカード会社から情報漏えいを指摘され、セキュリティベンダーに依頼して調査を行ったという。すると、同サイトにはSQLインジェクションやクロスサイトスクリプティングへの対策が施されておらず、カード情報も暗号化されていなかった。さらに、ECサイトの管理者アカウントのIDとパスワードがadmin/passwordのままだったことも指摘された。その結果、SQLインジェクションによって顧客のカード情報などが漏えいした可能性が高いという調査結果が出た。

　Webサイト、ECサイトにおいてSQLインジェクション攻撃は起こり得る事態であると予想され、最低限の対策（フォームのバインド処理、特殊文字のエスケープなど）をしていないシステムは過失責任を問うことができ、顧客対応、調査、売上損失など損害賠償ができるというのが原告の主張だ。

　これに対して被告は、システムの脆弱性（SQLi、XSS）の存在は認めるが、実際にこれらの脆弱性から情報が漏れた確証はなく、仮にSQLインジェクションなどの攻撃を受けたとしても、カード情報を管理している部分とは直結していないので、責任はないという主張だ。管理者アカウントについては、納品後ユーザーが変えるべきものだとした。

　この訴訟に対して東京地裁は「情報漏えいはSQLインジェクションによるものと認められる」とし、原告の訴えを認め1億円あまりの損害賠償請求に対し約2,262万円以上の支払いを被告に命じた。

原告・被告双方のセキュリティ意識が問題

　概要と結果は以上であるが判決文をよく読むと、原告、被告いずれにも問題があったと考えられる。

　まず原告は、ECサイトを運営する側、あるいはシステムを発注する側として、システム要件やセキュリティ要件に対する知識・認識が低すぎるのではないか。Webサイトが受ける攻撃やリスクについて正しい知識を持っていれば、SQLインジェクション対策やクレジットカードなど個人情報の平文保存など、システム設計や発注時にもう少し対応の方法があったように思える。

　これは、運営する会社の規模や事業形態にもよる。個人商店や小規模な店舗でシステム担当者など持てない会社に、過度なセキュリティ知識やリテラシーを期待するのは酷かもしれない。

　しかし、カード情報の漏えい件数は数千件にも及び、判決文には「システム担当者」との記述もでてくる。この記述だけで店舗の規模や形態を予想するのは難しいが、一定規模の会社組織ならば、開発側がそのようなシステムを提案してきたら不備を指摘するくらいの知識は必要だ。

　セキュリティ対策への意識は、被告も同様に問題があった。ECサイトを構築する側として、SQLインジェクションやXSS対策、個人情報の暗号化などは既知の知見や情報でできる対策は怠るべきでなかった。予算を含めて提案時になにもなかったとしたら、対策意識・知識ともに低いと言わざるを得ない。仮に、要求仕様や依頼になかったとしても、最低限必要な機能として確認することはできなかったのだろうか。特に相手がシステムやセキュリティに詳しくない店舗ならばなおさらだ。

【次ページ】意識の低いユーザー企業・開発会社に合わせるな