カカクコムがサイト再開、依然残る多くの疑問

2005/5/26

 不正アクセスを受けて価格比較サイト「価格.com」の閉鎖に追い込まれていたカカクコムは5月24日21時45分にWebサイトを再開した。カカクコムは25日にWebサイト再開についての説明会を開催。しかし、不正アクセスの原因や今後の対策の詳細については「ほかのサイトへの攻撃の原因を作り出すことになりかねず、捜査にも支障をきたす恐れがある」として、明らかにしなかった。仮にカカクコムの不正アクセスの原因が、OSやデータベース、Webサーバなどの未知のセキュリティホールであった場合、ほかのWebサイトも不正アクセス被害を受ける可能性がある。

 不正アクセスの原因については、「SQL Injection」(SQLインジェクション、詳細と対策は@IT Security&Trustを参照)の手法でデータベースが攻撃を受けて、結果としてWebサイトを改ざんされたとの指摘が一部メディアであった。この指摘に対してカカクコムの代表取締役社長兼CEO 穐田誉輝氏は「カカクコムから開示した情報ではない」と述べたうえで、原因については「お答えできない」とした。SQLインジェクションが原因かどうかは否定しなかった。

 また、Webサイトを訪れて、別ページに誘導されウイルスに感染したユーザー数についても「正確には分からない」とした。不正アクセスに関連して2万2511件の電子メールアドレスが盗まれたことも明らかになっているが、どのような原因でアドレスが盗まれたかについても詳細な説明はなかった。現在は不正アクセス元の一部のIPアドレスが特定できているという。

カカクコムの代表取締役社長兼CEO 穐田誉輝氏

 カカクコムは60台のWindowsサーバを使っていたが、Webサイトの閉鎖後に全システムを刷新するとしていた。カカクコムは対策として「OSの再インストール、ソフトウェアの全面見直し・強化を行うと同時に、システムの監視環境の一新などを実行」したとしている。また、プラットフォームについては「Windowsの使用継続は外部の専門家も交えて中長期的課題として議題に載せていく」(穐田氏)とした。カカクコムは取締役と情報セキュリティ担当者、外部の識者で構成する「カカクコムセキュリティ対策委員会」を設置し、セキュリティ対策の向上を図るとしている。対策委員会には技術支援企業としてラックが参加する。マイクロソフトも参加する予定だ。

 不正アクセスの原因がはっきりしないままだが、カカクコムの当時の運用体制が断片的に分かってきた。ソフトウェアのアップデートについては、取締役 CTOの安田幹広氏が「Webサーバのアップデートは、アプリケーションの動作確認をしてから行っている」と説明。Windows OSについては「必要なパッチは当てていた」(安田氏)と述べ、一般的な対策は行っていたとの考えを示した。外部によるセキュリティ監査はカカクコムのマザーズ上場時に実施。その後もトラフィックの増加に応じて、「頻度は高くない」(取締役 CFO 田中実氏)が行ってきたという。

 カカクコムは、Webサイト閉鎖を発表した5月16日の会見では、「最高レベルのセキュリティが破られた」として予測できない攻撃を受けたとの認識を示していた。しかし、25日の会見では「その後、外部の指摘を受けて、われわれの中でも最高とはいえない部分があった」(穐田氏)とトーンダウン。「結果として不正アクセスを受けたので、まったく問題がなかったとはいえない」(同)とした。

 ただ、常識的なセキュリティ対策は行ってきたというのがカカクコムの認識だ。穐田氏は結果としてユーザーや取引先に迷惑をかけたことは謝罪しながらも、「過失や重過失ではないと認識している」と述べた。結果として不正アクセスを受けてしまったが、怠慢を責められるようなセキュリティの不備があったわけではないと考えているとも取れる。穐田氏は「広い意味でいえば、このような(不正アクセスの)事態はどのような企業でも起こりうる」と述べ、カカクコムだけが特別に不備があったとの見方を否定した。

 穐田氏はほかのオンラインサイトへの警告として「セキュリティ対策に100%はなく、終わりもない。攻撃はどんどん巧妙化していると気持ちの上で再認識する必要がある」と述べたが、セキュリティ対策を行うほかのWebサイトが最も望むのは、捜査に影響を与えない範囲で、カカクコムがどのような攻撃を受け、どのような対策を行ったかを明らかにすることだろう。カカクコムは情報処理推進機構(IPA)を通じてや、NDA(秘密保持契約)を結んだうえで個別の企業に情報提供する考えを示しているが、セキュリティ対策の情報は広く共有されないと意味がないともいえる。「精神的な衝撃は計り知れない」(穐田氏)という不正アクセス被害を多くのWebサイトが受けないためにも、情報共有を望む声は多くなるだろう。

(@IT 垣内郁栄)

[関連リンク]
カカクコム

[関連記事]
価格.comが不正侵入で閉鎖、高度技術の組織犯に狙われる (@ITNews)
トレンドマイクロ社長が謝罪、「もう一度チャンスを下さい」 (@ITNews)
【技術解説】トレンドマイクロは何を誤ったのか (@ITNews)
ウイルスバスター原因でシステムダウン、月曜朝は注意を (@ITNews)
Webアプリケーションに潜むセキュリティホール (Security&Trust)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)