スパリゾートハワイアンズの情報漏洩について | システムエンジニアライフ

スパリゾートハワイアンズの情報漏洩について

ヘッダー広告
スポンサードリンク
スパリゾートハワイアンズにて情報漏えいが発生したとのことです。
詳細はスパリゾートハワイアンズのHPに記載されています。こちら
スパリゾートハワイアンズは、私も言ったことがあるところで、近くに住んでいる友達もいるため、このような話題で人気がなくなってしまうのは少し残念です。

今回の情報漏えいは、ハワイアンズのECサイト「ハワイアンズモール」で使用されたクレジットカード情報が流出したとのことで、原因はOpenSSLのバグであるHeartBleedとのことです。

HeartBleedは2014年4月に発表され、すでにOpenSSLのパッチ当てがされおり、バージョンアップさえしていれば脆弱性はありません。
今回も事象判明後の対応としてOpenSSLをアップデートし、問題は解決したようです。

私が今回の件で良くなかったと思うのは、HeartBleedが問題視され話題となった2014年に対応をしていなかったことだと思います。
当時の私は今とは別の現場にいて、Webシステムの開発を行ってはいませんでしたが、それでもHeartBleedのことは耳に入ってきて、興味を持ちました。
なのに、Webアプリケーションを開発している会社、ECサイトを依頼している会社双方が上記の事象を検知・対応出来なかったのはどうかなぁと思います。

また、その後2年程度も気づかなかったのも問題かと思います。
ある程度大きな会社であれば、セキュリティ診断を依頼し対応しているかと思いますが、(そうでもないのかな?)ハワイアンズはセキュリティ診断を受けていなかったということですよね。個人情報を扱っている以上は、Webサイトのセキュリティについて意識を高く持たなくてはいけないものと考えております。

今回システムを開発していた会社は、福島県いわき市のシステム会社とのことです。
会社情報を見てみると従業員10人程度の小さな会社でした。
やはり人数が少ないと情報のキャッチアップが漏れてしまうことも多いのかなぁと思います。
また地方ということもあり、どうしても情報がいかない部分もあると思います。

ただ私としては、地方のシステム会社も含めて頑張っていただき、日本のシステムエンジニアの市場価値が高まるといいなと思っているので、今回の事件によって評判が落ちてしまったのは少し残念です。

今後のハワイアンズのECサイトの開発で、この会社には(もしくは同じ県内のIT会社に)依頼されないのかなと思うとすごく残念です。

今後の再発防止策としては、

PCI DSSに準拠したシステムとなるように修正(クレジットカード情報の非保持化対応への準備)

や定期的な脆弱性診断と診断結果に対するシステム改善対応等があげられています。

参考:経済産業省 クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017(「実行計画2017」)を取りまとめました~国際水準のクレジットカード決済環境の整備を進めます~

今後は再度の情報漏洩が発生しないように対応してほしいと思います。

今回の情報漏洩では、地方の会社が地方のシステム会社に開発を依頼したシステムが情報漏洩を起こしてしまったとのことで、私としては興味を持ちました。

地方にいると情報漏洩の意識が薄くなってしまうこともあり、脆弱性を狙われてしまうこともままあるのかなぁと思います。

そんな中で、地方のシステム会社もシステム開発スキルが向上し、かつ色々な情報をキャッチアップして都市部のシステム開発会社に劣らないような環境になれば、日本のシステムエンジニアの価値も上がっていくのかなと思います。

今回の情報漏洩は残念でしたが、ハワイアンズ、システム開発会社共にこの情報漏洩の反省を生かして、より発展していってもらいたいと思います。
フッター広告

スポンサードリンク



シェアする

  • このエントリーをはてなブックマークに追加

フォローする