5月14日から10日間,不正アクセスを受けてサイト「価格.com」を閉鎖していたカカクコム。5月24日にセキュリティ対策を終えた一部のサイトを再開した。だが同社の不正アクセス対応を巡っては,侵入手口を公開すべきと指摘する声も少なくない。今回の対応の真意について,穐田誉輝・代表取締役CEO(最高経営責任者,写真=5月25日の会見時のもの)に聞いた。

--不正アクセスが発覚した5月11日時点で,なぜ即座にサイトを閉鎖しなかったのか。

 今から振り返れば,そうすべきだったと思う。だが当時は,何が原因か特定できないままサイトを閉鎖することは,多くのユーザーや出店者に迷惑をかけてしまうと考えていた。それよりは,サイトを運営しながら理由を突き止めて対策を打つのがよいと判断した。それが発覚してから3日間,サイトを閉鎖しなかった背景にある。

 11日に不正アクセスを受けた時点では,被害の実態が把握できなかったため,社内プログラマーが改ざんされたサイトを修正して対応した。攻撃の間隔も開いており,単なるいたずらの可能性もあったため,どの程度被害がおよぶものか想像がつかなかった。

 当社のサイトを閲覧したユーザーがウイルスに感染するという指摘についても,当初はウイルス対策ソフト会社に問い合わせても判明しなかった。今となってみれば,即座に閉鎖すべきだったと思う。だが当時は分からなかったのが本音だ。

 「なんだか危ないからサイトを閉鎖しよう」と言うのは簡単。だが,多くのユーザーや当社で店舗を運営している会社を考えると,おいそれとサイトを閉鎖するのは難しかった。さらに,すぐに閉鎖すれば,不正アクセスの犯人を調子づかせてしまうことにもなる。ただ,結果としては裏目に出てしまった点は否めない。

 なお,12日に警察に対して不正アクセスの状況を相談したが,一部で言われているような「犯人を特定するために警察にサイト運営の継続を指示された」といった事実はない。あくまで当社内で原因究明を進めていた。

--今回の不正アクセスについて,侵入手口に関する情報を公開すべきではないかという声が少なくない。

 公開することにはメリットとデメリットの両方があると思う。当社が真っ先に危惧したのが,攻撃の手口を公開することで,それを真似る第三者がたくさん現れるのではないかということ。具体的な手口が話題になりすぎると,いわゆるプロのクラッカーではない,一般の人まで面白半分で始めてしまうのではないかと恐れた。

 さらに,今回の不正アクセスは刑事事件として警察に被害届を出している。警察の捜査に協力する観点から,あまり情報を出すのは望ましくないと判断した。

--詳細な攻撃方法ではなくとも,問題となりそうなポイントだけでも明らかにすべきではないか。

 もちろん,侵入手口を公開し,皆で情報を共有すれば今後の不正アクセス対策に役立てられることは理解している。だが,仮に手口を公開した場合,その対策を取るまでに企業側はどうしても時間がかかる。万全なセキュリティ体制を固めるまでに,最低でも数日,場合によっては数カ月かかるだろう。

 半面,クラッカーの方は手口を知ってしまえば,すぐに攻撃をしかけられる。同じ情報を知った場合,企業とクラッカーでは対応時間が圧倒的にクラッカーに有利。だからこそ,情報公開について慎重にならざるを得なかった。

--とはいえ,手口の一端を公開すれば他社のセキュリティ対策に役立てられるのではないか。

 情報を開示することで,同じぜい弱性を持つ可能性のある他サイトへ対策を促せるという意見も分かる。だが,これまで述べたように公開するデメリットも多かった。最後は,情報開示をしない方が被害の拡大を抑えられると判断した。

--「不正アクセスを受けても仕方がない」という程度のセキュリティ体制だったのではないか,との指摘もある。

 そういう声があることも理解している。1回目の記者会見で私は,自社内で考え得る限りで最高レベルのセキュリティ対策を実施してきたと明言した。だが,会見後にセキュリティ調査を依頼した外部のセキュリティ会社から「最高レベルとはいえない」という診断を受けた。そこは自身の認識が甘かったと素直に反省している。

 ただ,同じセキュリティ会社から,セキュリティ対策のレベルは決して低かったわけではないと指摘された点も付け加えておきたい。だが実際に不正アクセスを許した以上,これまでの対策では甘い部分があった。

 被害を受けた方々には心から謝罪し,今後も真摯にサポートしていきたい。それ以外のユーザーにも,再び信頼を損ねることがないようセキュリティ対策には相応の投資をして対応する。安心して利用してもらうための努力を継続していきたい。

(蛯谷 敏=日経コミュニケーション