標的型メールは見抜くことが難しい。は誤りです

実際にクレジットカード情報を漏洩されたらこうなった


2017年7月12日、スパリゾートハワイアンズを運営する常磐興産が、ショッピングモール「ハワイアンズモール」の運営委託先システムが、OpenSSLの脆弱性「HeartBleed」を突いた攻撃によって6,860名分のクレジットカード情報を盗まれた可能性がある。と報道発表しました。

[「ハワイアンズモールの「不正アクセスによる個人情報流出に関するお詫びと報告」]

カード情報が漏洩したといった話は今更珍しくはありませんが、今回は運悪く自分がこの6,860名の中の一人となってしまったので、今回、カード情報が漏洩してどうなったのか?実際にカード情報を漏洩されてしまった被害者の一人として、書き綴ってみたいと思います。

何の事前連絡もなく、ある日突然カードが使えなくなった

報道発表は7月12日でしたが、カード自体は7月初めに突然使えなくなってしまいました。

このカード情報は他のサイトでも登録しており、毎月月初に決済している支払いに失敗したとのメールが送られてきたことをきっかけに、カードが使えなくなってしまっていることに気づいたのですが、何故カードが使えなくなってしまったのか?その時点では理由が全く分かりませんでした。

その後、カード会社からカードを無効にしたとの連絡が送られてくる

その後、少し遅れて、カード会社から「加盟店がカード情報を漏洩したため利用を停止した」とのメールが送られてきました。

このメールによって、カードが使えなくなってしまった理由はようやく分かったのですが、この時点ではどの加盟店が漏洩をしたのかについては情報が全くなかったため、とりあえず、カードの再発行を申請するしかありませんでした。

カードの再発行には3日以上かかる

カードの再発行手続き自体はWebからできるといっても、実際にカードが発行されるまでは3営業日の日数がかかり、カード自体は書留で送られてきます。このため、仕事などで日中は外出していると受け取ることができないため、郵便局に取りにいかなければならないなど、再発行されたカードを手にできるまでには相応の時間が必要になります。

当然、この間はカードによる決済ができないため、そのカードしか使えないような人だと、非常に困ったことになる。という場合もあるでしょう。

決済手段を複数持っている、また、サイト側で代替の決済手段が用意されていれば困ることはないでしょうが、どこの誰がカード情報を漏洩したのかもわからない状態で、ある日突然、支払いがしたくてもできない状況になり、サービスの利用を一時的に停止させられることを余儀なくされたりするのは、あまりいい気分のものではありません。

カード情報が漏洩というと、カード情報が悪用されることに目が行きがちですが、ネット決済をすることがごく自然なことになってきている現代においては、カードが使えなくなってしまうことで被る被害も決して小さなものではない。ということにも、ショッピングモールの運営者側は注意を向けるべきではないかと思います。

7月12日になってようやく、漏洩したのがハワイアンズモールだとわかる

カードが使えなくなってしまってから、どこがカード情報の漏洩をしてしまったのか?すぐにニュースリリースが出てくるかと思ったのですが、実際に発表があったのは7月12日でした。

報道発表をする側としては、色々な準備をしなければならないこと、また、漏洩したという事実を表に出すことによって発生しうる様々な混乱の可能性などを考えると、安易に情報を表に出すことができない。という事情はわかるものの、何の事前連絡もなく、いきなりカードが使えなくなってしまった被害者の側としては、報道発表の遅れは、やはり、あまりいい気分のものではありません。

漏洩の可能性に気づき、調査を始めたのは5月25日ということですから、もし、カード情報が漏洩したのが確実だとしたら、被害者に対してどのような形でお詫びをするのが適切と考えられるのか、そのための協議と準備をする時間は十分にあったはずです。

被害者への連絡は報道発表以降に行うことにしたのは、議論を重ねた上での判断であったのかもしれませんが、被害者に対してはどのようなタイミングで、どのように連絡をすることが最もベストであるのか、この点については改めて考えることが必要かもしれません。

今回のケースにおける常盤興産側の対応としては「セオリー通り」であったのかもしれませんが、実際に被害にあった側としては、ある日突然、訳も分からず、カードの再発行手続きやら、Webサイトでの決済手続きのやり直しやらを余儀なくされたわけで、やり場のない怒りが却って被害者の感情を逆なでしてしまう結果に繋がりかねない。ということも考える必要はあると思います。

常盤興産からのお詫び状が郵送されてきたのは7月15日

常盤興産の報道発表は7月12日でしたが、メールによるお詫びの連絡はありませんでした。これは、メールによるお詫びに便乗して、不正なサイトに誘導したり、ウィルスを添付するようなメールが送られる可能性を考慮してのことでしょう。

また、最近はメールの精読率は非常に低いのが一般的なので、メールを送っても気づいてもらえないかもしれない。ということも、メールによる連絡をしなかった理由の一つかもしれません。

その代わり、郵送によるお詫び状が、クオカード500円分1枚と共に送られてきました。

常盤興産からのお詫び状

情報漏洩というとクオカード500円分というのが、お詫びの相場として一般的ですが、これについては、本当にそれが適切なのかどうか、各会社できちんと議論して判断すべきだと思います。

クオカード500円分というのはそれが妥当として導き出されたものではなく、他社による前例があちこちの会社で踏襲された結果、今ではそれが相場であるかのように扱われているに過ぎません。

実際、今回の漏洩によって余儀なくされた様々な手間(カードの再発行や、各サイトでの手続き変更など)と、そのために浪費した時間を考えると、500円というのは全く割に合いません。

そもそも、世間相場が500円だから、ウチも500円でいいよね。というような考え方が見透かされるようで、本当に申し訳ないという気持ちを持っているのかどうか、穿った見方もしたくなってしまいます。

ハワイアンズの場合で言えば、スパリゾートハワイアンズという立派な資産があるのですから、もっと違うお詫びの仕方も考えられたのではないでしょうか?

情報漏洩をしてしまった。⇒他社に倣ってクオカード500円分でお詫び。というのでは、本当に誠意をもってお詫びしているとは思ってはもらえないでしょう。

他社がそうしているから。ではなく、自社のお客様に対して自社ができる最大限のことは何なのか?

情報漏洩が起きてから慌てて考えたのでは、時間が足りなくなってしまいますし、良いアイデアは出ないかもしれません。お客様からの理解が得られるような、自社らしいお詫びの仕方とはどうあるべきか?をリスク対策として普段から考えておく。これが必要なのではないでしょうか。

常盤興産からのお詫び状が郵送されてきたのは7月15日でしたので、郵送にかかる時間を考えると、発送したのは報道発表後と推察されます。カード自体は7月の初めから使えなくなってしまっていたのですから、お詫び状はせめて、報道発表と同時に届くようなタイミングで送るべきだったのではないでしょうか。

委託先が起こした事故の場合、自社は被害者なのか?それとも加害者なのか?

今回のケースでは漏洩事故を起こしたのは外注先なので、常盤興産からすれば、自社も被害者という感覚を持っているのかもしれません。しかし、今回の漏洩事故の原因は、3年も前に大騒ぎになった「HeartBleed」の脆弱性を突かれたことによるものです。

本来ならすでに対策済みであるはずの脆弱性を突かれたということですから、普通に考えれば、これまで何をやっていたんだ?という事になります。

「HeartBleed」についてはマスコミでも大きく報道された話なので、いくら運営を委託しているといっても、委託元として「HeartBleed」などの既知の脆弱性に対する対応はできているかどうかを委託先に確認することを行っていれば、今回の漏洩が起きることは防げたかもしれません。

ウチはシステムのことは全く分からないので、委託先に聞いて下さい。

と言う担当者は少なくありませんが、何も知らないからと言って、何か問題が発生しても責任を取らなくてよい。ということにはなりませんし、顧客も許してはくれないでしょう。

セキュリティに関して言えば、システムのことはわからないからと言って、委託先に丸投げにしたままとすることなど絶対にしてはいけない事だ。ということが、今回のケースからは学ぶことができると思います。

委託先が起こした事故については、自社も被害者という感覚になりがちですが、委託先が事故を起こさないよう目を配ったり、重要なポイントについてはきちんと確認するといったことは最低限やるべきで、そうしたことをせず、何もわからないからと言って、丸投げしたままの結果として起きた事故であるなら、自社も加害者であるとの誹りを受けても仕方がないことだと思います。

ありがちな話だけに、対応の仕方についてはもっと考えるべきなのでは?

カード情報の漏洩自体はよくある話ですが、よくある話だけに、起きてしまった場合の対応については、考えるべき点が幾つもあるように思います。

カード情報を漏洩されると、実際にどのようなことになるのか?については、実際に被害に遭ってみないとなかなか実感できるものではありません。それだけに、セキュリティ事故を起こしてしまった側は、被害者側の気持ちを知らないまま、気づかないまま対応をしてしまうといったことになりがちです。

「セオリー通り」「優等生的な対応」は、顧客が離脱することを最少限にすることはできたとしても、顧客が自社をより好きになってくれる、顧客がよりファンになってくれる。ということには繋がりません。

有事の時だからこそ、顧客とより深く繋がることができるチャンスと捉え、顧客から応援してもらえるような対応を考え、実行することこそ、会社としてすべきことなのではないでしょうか。

常盤興産からすれば、今回の件はまさに「寝耳に水」のようなアクシデントだったと思います。

しかし、セキュリティ事故はいつだって「寝耳に水」。「寝耳に水」であるからこそ、普段からの備えと、イザという時の胆力が、会社の真価として問われるのだと思います。

今回の事例を参考に、自社にとっての教訓として活かしていただけたら幸いです。

(Visited 145 times, 34 visits today)
←前の記事へ(
サブコンテンツ