価格.com閉鎖の原因と対策は非公開--メールアドレス詐取の補償なし

　不正アクセスにより一時閉鎖されていたカカクコムの運営する「価格.com」が、5月24日に一部再開した。サイトの再開に伴いカカクコムは25日、これまでの経緯と現状を説明すべく記者会見を開催した。

　価格.comにおいては、5月11日にプログラムの改ざんが発覚し、直接プログラムの修正を行うことで対応していたが、14日には対応不可能と判断したためサイトを閉鎖するに至った。不正アクセスによるユーザーへの影響として、ウイルス感染や2万件超のメールアドレスの詐取が判明している。セキュリティ専門会社に依頼して調査を進めた結果、25日現在で一部の不正アクセスのIPアドレス等が特定されている。調査で判明したIPアドレスやアクセスログの解析情報、また被害にあったサーバの現物は、警視庁ハイテク犯罪対策センターおよび警視庁富坂署に提出済みだ。

カカクコム代表取締役社長、穐田誉輝氏

　ただしカカクコムでは、「具体的かつ詳細な原因等については、ほかのサイトへの攻撃の原因を作り出すことにもなりかねない。また、捜査にも支障をきたす恐れがあるため、公表は差し控えたい」（代表取締役社長の穐田誉輝氏）としている。

　同社独自のアプリケーションのぜい弱性を突かれたのか、運用体制に問題があったのか、もしくは汎用アプリケーションに原因があったのかについても、同社ではまったく明らかにしていない。そのうえで、穐田氏は「カカクコムとしては十分対策を施したので、今後同じ原因で不正アクセスされることは決してない」と述べるにとどまっている。また、「類似犯罪のヒントを与えたくないので、これ以上コメントはできない」と詳細を話すことを何度も避けた。

　同様のぜい弱性を狙って他サイトが不正アクセスされる可能性があるのかとの問いには、「他社のシステムを把握していないので何とも言えないが、このような攻撃はあり得る話だ」（穐田氏）としている。そうなると、なおさら今回の事件の原因と対応策が気になるところだ。当然、会見では「各社が防御策を立てるためにも原因を公表してほしい」と、この点に質問が集中した。「この場で話すことはできない。ただ、IPA（情報処理推進機構）には事態を報告しており、IPAを通じての情報開示は行う」としている。さらに、「自社のシステムに不安がある場合、機密保持契約を結んだ上で再犯防止に協力することは可能だ」（穐田氏）としている。

　今回のプログラム改ざんでカカクコムは被害者だが、価格.comにアクセスしたユーザーがウイルスの被害に遭う結果となり、ユーザーから見れば加害者の側面もないわけではない。「不正アクセスが発覚した時点でサイトを閉鎖すべきではなかったか」との非難の声も上がっているが、穐田氏は「不正アクセスが発覚した当初に、異質なプログラムの存在には気づいていたが、それがウイルスだと認識できなかった。アンチウイルスソフトメーカーに問い合わせたが、該当するウイルスがなかったためだ。サイトを運営しながら防御できる内容だと判断したため、すぐには閉鎖しなかった。その後に攻撃の頻度が高まったためサイトの閉鎖を決断したが、ウイルスについての正式な見解が出たのはサイト閉鎖後だった」と述べ、意図的にユーザーを危険にさらしていたわけではない旨を説明した。

　今回の不正アクセスでは、商品の最安値の更新をメールで知らせる「お知らせメールサービス」に登録したユーザーのメールアドレスが詐取されるという被害もあった。登録メールアドレス約55万件のうち、2万2511件が詐取されたことが判明しているが、カカクコムでは5月24日の午前10時に、該当するユーザーにメールで連絡し、被害のサポートを行っている。また、今後早期に同社サイト内に「スパム対策サポートサイト」を開設して、該当するユーザーが対策しやすいようにサポートするとしている。

　メールアドレス詐取に関する個別の補償について、穐田氏は「第三者の専門家を交え、法的責任等を踏まえて協議や検討を行ったが、今回のケースは他の企業の情報漏洩事件などで問題とされたような自社の内部事情（社員や元社員、委託契約先などの不正）による事件とは異なり、悪意のある第三者からのハッキングであることから、今回は被害サポートを行うことで対応する」と述べた。

　カカクコムでは、セキュリティ対策向上のために「カカクコムセキュリティ対策委員会」を設置した。この委員会のメンバーは、デジタルガレージ共同創業者顧問 兼 警視庁総合セキュリティ会議委員の伊藤穣一氏、ビー・ユー・ジー代表取締役COO 兼 日本ベリサイン顧問の川島昭彦氏、ラック代表取締役で元内閣官房情報セキュリティ基本問題委員会第2分科会委員の三輪信雄氏だ。また、技術支援企業として、ラックなど数社が協力する。