最大2,000万件のPayPay加盟店情報へブラジルから不正アクセス
スマホを使って商品購入を手軽に済ませることができる、スマートフォン決済サービス。各社からさまざまなサービスが提供されており、ユーザー・事業者双方で導入が加速していますが、一方でセキュリティリスクが高いことも顕在化してきました。
今回は、スマホ決済サービス大手のPayPayで発生した不正アクセスを参考に、企業のセキュリティ対策について考察していきます。
本稿は、今日の10分セキュリティラジオの放送を加筆修正したものです。
PayPayへの不正アクセスの詳細は?
スマートフォン決済サービス「PayPay」を運営するPayPayは、2020年12月7日に同社の管理サーバーにある加盟店の営業情報について不正アクセス被害があったことを発表しました。
不正アクセスは11月28日にブラジルからの履歴が確認されており、最大で2千7万6,016件の情報が流出した恐れがあるとしています。具体的には、
- 加盟店情報
- 加盟店営業先情報
- 同社従業員情報
- 同社パートナー情報
- 加盟店向けアンケートの回答者情報
といった情報が流失しており、住所や氏名、連絡先といった個人情報も含まれています。
管理サーバーへのアクセス権限の設定不備があった
PayPayでは不正アクセスが発生した原因として、管理サーバーにある加盟店に関する情報に関して、「アクセス権限の設定不備」があったことを挙げています。
当該情報の認証自体に問題があったケースや、アクセス権限の割り当て自体に問題があったケースなどが今回の不正アクセスの原因として考えられるでしょう。
2020年12月3日現在では、不正アクセスが悪用された形跡はなく、一般ユーザーの個人情報は流出していないと発表しています。
どれくらいの予算をセキュリティ対策にかければよいのか?
今回のPayPayのようなスマホ決済サービスはもちろん、ネットワークを介したサービスを提供しているすべての事業者は「いつ不正アクセスの標的として狙われてもおかしくない」という意識を強く持っておく必要があります。
個人情報やデータが流出しないためにも、適切なセキュリティ対策を講じておく必要があります。では、具体的にセキュリティ対策にはどれくらいの予算をかければよいのでしょうか?
予算は個人情報の数に応じて「かけ算」をする
個人情報は1件1件に高い資産価値があります。そのため、個人情報の数が多くなればなるほど、予算の割合を大きくして個人情報を適切に守る必要があります。
具体的には個人情報1件の資産価値を算出し、数に応じて「かけ算」をするのが一般的です。例えば1件の個人情報が500円だとすれば、10,000件の情報を扱う場合、500円 × 10,000件 = 500万円という予算が成り立ちます。
個人情報の資産価値は、情報の種別によってさまざまな計算方法があります。過去の事例を挙げると、サービス会社の個人情報漏洩事故で1人あたり500円の金券が支払れた事例があります。また、宇治市の情報漏洩では裁判で1人あたり10,000円の賠償が認められました。
その他、身体的な特徴や個人が特定されるような情報が含まれている場合は、金額がさらに大きくなります。過去には個人情報1件に対して50,000円程度の価値が算定された事例もあるなど、個人情報の資産価値といってもその情報の種別によって大きく価値が変動します。
資産価値が高い情報が漏洩すれば、それだけ高い損失が発生するだけに、企業がセキュリティ対策に相応の予算をかけることは当然といえるでしょう。
海外からの不正アクセスが多いのはなぜ?
今回のPayPayの事例ではブラジルからの不正アクセスが確認されましたが、こうしたセキュリティ被害では海外からの不正アクセスが多い印象があります。その理由はなぜなのでしょうか?
国ごとの法整備にバラつきがあるため
最大の理由は、国ごとに法律の整備状況にバラつきがあるということ。すべての国において、サイバー攻撃に対しての法整備が整っている訳ではありません。日本では、不正アクセス禁止法や個人情報保護法といったサイバー攻撃に関するさまざまな法律が整備されています。こうした法律が攻撃者に対しての抑止力となり、国内から不正アクセスを行わない状況が生まれています。
一方、セキュリティ後進国ではこうした法整備やネットワークの脆弱性が整っていないため、攻撃者にとって格好の「踏み台」となっています。
また海外からの攻撃ではTOR(トーア:The Onion Router)を使った不正アクセスが考えられます。トーアはアメリカの軍事関連組織の支援によって開発されたソフトウェアで、通信時に玉ねぎの皮のように積み重ねられて暗号化される特徴を持っています。匿名性が高く、攻撃者が身元を特定されないよう悪用しているケースが見受けられます。
まとめ
今回は、PayPay加盟店情報に対してのブラジルからの不正アクセスを事例に、事業者のセキュリティ対策に関して解説しました。
ネットワークを利用したサービスは利便性が高く、ユーザー・事業者双方にとってメリットがあります。一方で、不正アクセスにより個人情報が流出すれば莫大な損失が発生するだけに、個人情報の資産価値や数に応じて適切な予算を講じて対策を行う必要があります。
また、サイバー攻撃に関する法整備やインフラ整備が整っていないセキュリティ後進国は、攻撃にとって格好の踏み台となります。今回のPayPayの事例でもブラジルから不正アクセスが確認されるなど、海外から日本への攻撃は後を絶ちません。事業者は海外のセキュリティ環境や最新の手口について、絶えず情報収集を行い大切な個人情報をしっかり守っていきましょう。