2024年10月3日、有名コーヒーショップ「タリーズ」のオンラインストアから、個人情報とクレジットカード情報が流出したという報道がされました。
この記事ではその事案をもとに、サイトから情報漏洩が流出する要因と、サイト運用・保守管理の観点から学べる対応策についてまとめます。
情報漏洩の経緯
事の発端は2024年5月20日、警視庁よりタリーズ側に、タリーズが運用するサイトからクレジットカードの情報が漏洩した可能性があると伝えられたことから始まります。
タリーズ公式サイトによると、「タリーズオンラインストア」のシステム内の脆弱性を、第三者により不正アクセスされたことが原因であると発表されています。
不正アクセスは4年以上前から行われており、流出した情報は個人情報が約92,000件、クレジットカード情報が約53,000件です。
現在(2024年10月18日時点)、「タリーズオンラインストア」は閉鎖されており、サービス再開の目処は立っていないようです。
情報漏洩の要因
情報漏洩の報道から数日後、「外部の某エンジニアが、タリーズオンラインストアのシステム脆弱性の原因を突き止めた」という話題でXが賑わいました。
今回の事案では、「slick」の画像スライダーを制御するプログラムのJavaScriptファイル「slick.min.js」内に、悪意のある不正コードが記述されていたようです。
「slick」とはjQueryベースの、スライダーを作成するためのプラグインで、世界中の多くのサイトで便利な外部サービスとして実装されています。
Xの情報をまとめると、今回の原因の一部として以下のものがあげられています。
- 「slick」に悪意のあるコードが書き込まれた
- 画像アップロード機能に脆弱性がありPHPファイルをアップロードできる仕様となっていた
- 悪意のあるPHPを経由してクレジットカード情報が流出した
- jQueryのバージョンが2.2.4が古く、アップデートされていなかった
情報漏洩の対策
タリーズの事案の原因として、「slick」内のシステムファイルがあげられていますが、「slick」サービス自体が悪いわけではありません。
大切なのはサイトを制作・運用する側の、外部サービスを使用する際のリスク管理と、日々の保守管理を徹底することです。
今回の事案を参考に、情報漏洩の対策として以下の点を実施できるかもしれません。
- 制作する時にきちんと新しく信頼性のある外部スクリプトを使うこと
- サーバーのセキュリティ設定をしっかりと設定しておくこと(定期的に見直すこと)
-コントロールパネル上のセキュリティ設定をしっかりと行う
-ファイルやディレクトリのアクセス権限を正しいものとする
-Wordpressであれば、管理ディレクトリなどへのアクセスを制限するプラグインを利用する
-XSS対策を行う - アップデート等のメンテナンスをしっかりとすること
- jQueryなどもできれば定期的に最新のものにすること
まとめ
今回はタリーズの事案をもとに、情報漏洩の原因と対策について考えました。
サイトユーザーを巻き込む問題が一度でも発生してしまうと、主要な業務サービスが停止したり、失われた信頼回復に追われたりと企業が被る損害も図り知れません。
セキュリティ対策で重要なのは、何か特別なことをするというよりも、基本的な設定や日々の管理をしっかりと行うということだと改めて気づかされます。
しかしサイトの運用フェーズになると、通常業務や記事更新に追われ、裏側のシステム管理に目を向けることは難しいかもしれません。
そういう時こそ、サイト保守運用の専門家を頼りにしていただけると幸いです。