大手カフェチェーン「タリーズコーヒー」は3日、通販サイト「タリーズ オンラインストア」のユーザのIDやパスワードなどが9万2685件、クレジットカード番号とカード名義人名、セキュリティコードなどが5万2958件、流出した可能性があると発表。通常は暗号化してシステム上に保存されるユーザーパスワード、およびシステム上には保存されないはずのセキュリティコードまで流出し、ユーザがクレカを不正利用されるなど大きな被害を受ける可能性があるとの指摘も出ている。また、同社は5月30日に自社サイト上にリリース「不正アクセスによるシステム侵害発生のお詫びとお知らせ」を掲載して個人情報の一部流出が懸念されると記載していたが、詳細内容の発表まで4カ月の間隔が空いたことに疑問の声もあがっている。6月にはKADOKAWAがサイバー攻撃を受けて大規模なシステム障害と情報漏洩が発生したばかりだが、タリーズもサイバー攻撃を受けた可能性はあるのか。また、なぜユーザのパスワードやクレカのセキュリティコードが漏洩したのか。専門家の見解を交えて追ってみたい。
全国に約800店舗を展開するタリーズコーヒーは、国内カフェチェーンとしてはスターバックス コーヒー、ドトールコーヒーショップ、コメダ珈琲店に次ぐ4位(店舗数ベース)。米国シアトル発祥のスペシャルティコーヒーをウリとし、運営元のタリーズコーヒージャパンは現在は伊藤園の子会社となっている。
そのタリーズは3日、運営する「タリーズ オンラインストア」に登録された会員情報、およびクレジットカード決済で利用されたクレカ情報が漏洩した可能性があると発表した。漏洩した可能性のある情報は以下のとおり。
・会員情報
氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報
・クレカ情報
クレジットカード番号、カード名義人名、有効期限、セキュリティコード
ウェブスキミング
ECサイトなどではセキュリティ対策のためにパスワードを暗号化して保持したり、クレカのセキュリティコードを保持しない仕様になっているケースが多いが、今回、なぜ漏洩したのか。データアナリストで鶴見教育工学研究所の田中健太氏はいう。
「すでに多くの人から指摘されているとおり、システム内部に侵入されたのではなく、ユーザが情報を入力するウェブブラウザの画面上にJavaScript(スキマー)を仕掛けられ、入力情報が攻撃者のサーバに送信されていた可能性があります。SNS上では、タリーズのオンラインストアのネット上に残されたアーカイブをみると改ざんされた経歴が残っているという指摘も出ているようです。ウェブスキミングという頻繁に利用されている手口であり、ユーザが画面に入力したタイミングで情報が詐取されるため、システム内部で暗号化していたり、保持しないようにしていても盗まれてしまいます。
タリーズのウェブサイトやアプリに脆弱性があったことが原因である可能性もありますが、脆弱性を完全になくすことは不可能なので、どれだけセキュリティ対策を意識して構築したシステムでも不正アクセスによる被害というのは起こり得ます」
では、こうした手口の行為による被害を防ぐためには、どのような対策をすべきか。
「不正アクセスやサイバー攻撃を100%防ぐことはできませんが、CSP(Content Security Policy)を施すことでリスクを低減することは可能です。ウェブブラウザに対して、許可しないデータベース(DB)などへのデータ送信をさせないという仕組みで、今回のケースでいえば、特定のクレジットカード会社のシステム以外へのデータ送信を許可しない設定にしておくことで、攻撃者のサーバにデータが送信されることを防ぐというかたちです。もちろんCSPの導入によってウェブスキミングによる被害を完全に防ぐことはできませんが、リスクを低減することはできます」
