韓国ロッテカードで発生した史上最悪レベルのセキュリティ事件
2024年8月、韓国の大手クレジットカード会社ロッテカードで深刻なセキュリティ事件が発生しました。960万人という膨大な顧客基盤を持つ同社が、なんと17日間もハッキング被害に気づかなかったのです。
現役のCSIRT(サイバーセキュリティインシデント対応チーム)として数多くのインシデント対応に携わってきた私が、この事件の詳細と企業が取るべき対策について解説します。
ウェブシェル攻撃とは何か?その恐ろしい実態
今回の攻撃で使用された「ウェブシェル」は、サイバー攻撃の中でも特に厄介な手法の一つです。
ウェブシェル攻撃の仕組み
ウェブシェルとは、Webサーバー上に設置される小さな悪性スクリプトのことです。一度設置されると、攻撃者は以下のような操作を遠隔で実行できるようになります:
- 管理者権限の奪取
- 機密資料の流出
- バックドア(裏口)の設置
- 他のマルウェアの配布拠点化
実際の企業事例では、ウェブシェルによって数ヶ月間に渡って情報が盗み続けられ、発見時には数百万件の顧客データが流出していたケースもあります。
なぜ17日間も発見できなかったのか?
ロッテカードの事件で最も深刻なのは、8月14日に開始された攻撃が8月31日まで発見されなかったという点です。
発見が遅れた主な理由
- ファイルアップロード制御の不備:本来であれば、不正なファイルのアップロードを検知・遮断するシステムが機能していませんでした
- 実行権限の管理不足:アップロードされたファイルに実行権限が付与されてしまう設定になっていました
- 監視体制の甘さ:異常な通信やファイルアクセスを検知する仕組みが不十分でした
私がこれまで対応した中小企業のインシデントでも、同様の問題が頻繁に見られます。特に「マルウェア感染程度なら報告義務がない」という認識は非常に危険です。
流出した可能性のあるデータの深刻度
金融監督院の調査によると、流出データは約1.7ギガバイトに達し、以下の情報が含まれていた可能性があります:
- カード情報
- オンライン決済記録
- その他の顧客個人情報
ロッテカード自身も「該当顧客にはカード暗証番号変更を案内する」と発表しており、事実上の情報流出を認めた形となっています。
個人・中小企業が学ぶべき教訓と対策
1. 基本的なセキュリティ対策の徹底
まず重要なのは、アンチウイルスソフト
の導入です。ウェブシェルやマルウェアの早期発見には、リアルタイム保護機能が不可欠です。
2. ネットワーク通信の監視
不審な外部通信を検知するため、VPN
の活用も効果的です。特に海外の不審なIPアドレスとの通信を遮断できます。
3. Webサイトの脆弱性診断
企業のWebサイトを運営している場合は、定期的なWebサイト脆弱性診断サービス
が必要です。ウェブシェルが設置される前に、セキュリティホールを発見・修正できます。
今すぐできる具体的な対策
個人向け対策
- クレジットカードの利用明細を毎月必ず確認
- 不審な取引があった場合は即座にカード会社へ連絡
- オンラインショッピング時のセキュリティ確認
- パスワードの定期変更と二要素認証の導入
中小企業向け対策
- Webサーバーのファイルアップロード機能の見直し
- 実行権限の最小化
- アクセスログの定期的な確認
- セキュリティ監視ツールの導入
インシデント発生時の適切な対応手順
万が一、似たような攻撃を受けた場合の対応手順をご紹介します:
- 即座に該当システムを隔離
- 証拠保全のためのログ取得
- 関係当局への報告
- 顧客・ステークホルダーへの適切な情報開示
- 根本的な原因分析と再発防止策の策定
ロッテカードの場合、発見から報告まで数日かかっていますが、理想的には24時間以内の報告が求められます。
まとめ:サイバーセキュリティは「投資」であり「保険」である
今回のロッテカード事件は、どんな大企業でもサイバー攻撃の標的になりうることを示しています。特にウェブシェル攻撃は発見が困難で、長期間に渡って被害が拡大する可能性があります。
重要なのは「自分は大丈夫」という思い込みを捨て、適切なセキュリティ対策を事前に講じることです。セキュリティ対策にかかるコストは、インシデント発生時の損失と比較すれば微々たるものです。
個人の皆様も企業の経営者の皆様も、この機会に自身のセキュリティ体制を見直し、必要な対策を講じることをお勧めします。
