価格.com社長 「原因と対策は教えられないし、アドレス流出の補償も行わない」

ようやく復帰の兆しが見えてきた価格.comですが
今回の事件に関しての記者会見を行いました。

ウイルスの駆除方法などについて
1300件以上の問い合わせがあったものの
「価格.com側に過失責任はない」と主張。

メールアドレスが2万2511件流出したとは言え
不正アクセスによるものなので、価格.com側も被害者という
他の事件と比べて極めて特殊なケースです。

人為的ミスによるものなのかWebアプリケーションに原因があったのかなどは
現段階では明かされないまま今回は幕を閉じることとなりました。

---

▽価格.com代表取締役社長の穐田誉輝氏と取締役CTOの安田幹広氏の発言をまとめると
■原因と対策について
「具体的かつ詳細な原因等については、ほかのサイトへの攻撃の原因を作り出すことにもなりかねない。
　また、捜査にも支障をきたす恐れがあるため、公表は差し控えたい」

■各社が防御策を立てるためにも原因を公表してほしい
「この場で話すことはできない。ただ、IPA（情報処理推進機構）には
　事態を報告しており、IPAを通じての情報開示は行う」
「自社のシステムに不安がある場合、機密保持契約を結んだ上で再犯防止に協力することは可能だ」

■今回の手法がマネされたら？
「他社のシステムを把握していないので何とも言えないが、このような攻撃はあり得る話だ」
「カカクコムとしては十分対策を施したので、今後同じ原因で不正アクセスされることは決してない」

■asahi.comが24日に「SQLインジェクションと呼ばれる手法を応用した」と報道していますが？
「答えられない。ただ、機密保持契約を結んだ上で再犯防止に協力することは可能だ」

■「最高レベルのセキュリティ」と公言しているサーバーの管理責任について
「OSへのパッチ適用など、考えられる対策は適切に取ってきた。今回の件は我々の過失ではない」

■ユーザに対する補償について
「ウイルスに感染した消費者への金銭的な補償は考えていない」
「第三者の専門家を交え、法的責任等を踏まえて協議や検討を行ったが、
　今回のケースは他の企業の情報漏洩事件などで問題とされたような
　自社の内部事情（社員や元社員、委託契約先などの不正）による事件とは異なり、
　悪意のある第三者からのハッキングであることから、今回は被害サポートを行うことで対応する」

■5月11日に気づいて14日に閉鎖、3日間の空白について
「運営しながらでも、十分に対策できるものと考えていた」

■不正アクセスが発覚した時点でサイトを閉鎖すべきではなかったか？
「不正アクセスが発覚した当初に、異質なプログラムの存在には気づいていたが、
　それがウイルスだと認識できなかった。アンチウイルスソフトメーカーに問い合わせたが、
　該当するウイルスがなかったためだ。サイトを運営しながら防御できる内容だと判断したため、
　すぐには閉鎖しなかった。その後に攻撃の頻度が高まったためサイトの閉鎖を決断したが、
　ウイルスについての正式な見解が出たのはサイト閉鎖後だった」

■これからも価格.comのサーバーにはWindowsを使っていくのか？
「今後の中長期的なセキュリティ対策の重要な課題の1つ。外部の専門家を交えて，議論していきたい」

▽関連記事
■カカクコムは情報をきちんと公開すべきだ
■【価格.com問題】攻撃の手口の解明が進むが原因は非公表，「手口は今後も公開しない」
■「過失はない」としながらも不正アクセスの詳細の言及は避ける～カカクコム
■「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず
■カカクコムがサイト再開、依然残る多くの疑問
■アドレス流出の補償行わず カカクコムの不正アクセス
■「価格.com」事件，「当社に過失はなかった」とカカクコム社長
■価格.com閉鎖の原因と対策は非公開--メールアドレス詐取の補償もなし

---

トラックバックURL：