2024年　第19回情報危機管理コンテスト一次予選　問題文

貴方は情報セキュリティに関する専門家としてコンサルティング業務を行っています． 顧客企業から次のような相談が来ましたので，この相談に対してアドバイスをしてください．

-------------------------------------------------------------------------------------------------------

私どもは宝石・貴金属のネット通販をしております。近年の感染症の世界的流行もありまして、宝石市場は厳しさを増しており、従来の店舗中心の販売では将来が見通せないと判断し、ネット通販業を開始しました。私どもはもともと小売をしていましたが、一定のブランド力があり、腕利きの宝石のバイヤーや加工職人等とのつながりもありました。これを活かして、信頼できるネット通販型の宝石販売の仕組みを目指してきたつもりです。

宝石は個々に品質や特徴が異なり、全く同じ宝石は決してありません。従って、それを見極める専門家の目と信頼が必要ですし、一つ一つ異なるものを販売する、従来よりも柔軟なネット通販のインタフェースが必要です。我々はたまたま、このようなニーズを満たすショッピングモール業者と出会うことができ、我々の業務に適したアプリの提供を受けて事業化することができました。モール業者は、小規模な事業者ですが、真に価値のある品物を安価に日本の顧客に届けたいという我々の思いに共感していただき、全面的に協力をいただいています。現在時点では、まだ我々の店の売り上げも十分に上がっているわけではありませんが、事業が成長した際には、利益を乗せてお返しすることをお約束しています。

さて、我々の事業の仕組みを簡単に説明します。我々は、モール業者のWebサイト内に店舗を構えており、顧客は商品をWeb上で確認できます。商品は、我々が腕を認めて契約したバイヤーが海外各地の卸売市場で仕入れ、現地で、スマートフォンアプリで現物の写真、鑑定書のスキャン画像、必要情報等を入力して、販売価格と一緒に商品登録します。（彼らは撮影用の機器一式を現地に持参しており、写真を撮るのもプロなのです！）登録された商品は店舗の店員がチェックした上で承認して、Webで閲覧できるようになります。顧客は、メッセージ機能を用いて、質問や、新たな写真のリクエスト等を自由に投稿できますし、必要に応じて店員とのビデオ会議により商品説明を受けた上で購入に至る、という流れになります。取引一件あたりの金額が最低でも十数万円以上と高額ですので、できる限りサポートは手厚く、信頼を最重要視して対応にあたっています。

モール業者はWebサービスをクラウド上に構築し、スマートフォン・タブレットで利用する、店舗用の管理アプリを提供しています。今回はモール業者が特別に、従来の管理アプリをカスタマイズし、我々の店舗専用のアプリを開発してくれました。アプリの改変にあたっても我々の要望をしっかり聞いていただいて、我々の店舗の運営に必要な機能を実装してもらうことで、ご対応いただきました。（期限の問題もあり、なかなか対応いただける業者が見つからなかったのですが、最終的には受注できる業者が見つかったそうです。）具体的には、バイヤーが海外から商品登録できる機能、店舗スタッフが承認できる機能、バイヤー・店員・顧客間のメッセージ機能の追加です。（一部、クラウド上のシステムの修正も必要でしたが、修正は僅かで済んだため、問題なく実現できたそうです。）バイヤーは自分の商品を登録した上で、自分の商品の閲覧数や「いいね」の数を閲覧できますし、質問があれば回答することができます。いつでも値段の変更が可能で、売上金額に応じてバイヤーに報酬が支払われる仕組みになっています。ビデオ会議による応対は店舗の店員が応じていますが、これは外部のビデオ会議サービスを用いており、URLをメッセージでやり取りすることで実現しています。録画もしており、顧客との会話の様子はバイヤーも後から閲覧することができるようにしています。もちろん、バイヤーが他のバイヤーの実績や商品の値段の推移等の詳細を閲覧したり、店舗の売上等の内部情報を閲覧したりできないように、バイヤーと店舗の閲覧・編集権限は明確に区切ってもらっています。

顧客は要望に応じて、宝石をペンダントや指輪の形に加工して購入することもできます。その場合には、店員がデザイン等の相談を受け、契約している加工職人に依頼をすることで商品を仕上げます。古くから付き合いのある職人さんですが、腕は確かな職人で、デザインのバリエーションが多いのが強みです。客の要望に答えるコミュニケーション力もあり、顧客との会話の中でニーズをうまく汲み取り、満足されるデザイン仕様を引き出してくれます。加工の有無にかかわらず、商品は店舗から丁寧に包装して顧客に届けます。仕入れから直接販売することで安価に販売し、デザイン性の高い加工で幅広い要求に答えられることから、ネット販売を開始してからずっと販売は好調で、顧客が別の顧客を紹介してくれて、商売は軌道に乗りはじめ、喜んでおりました。

バイヤーは商品販売の際の最終的なデザインや仕上がり写真だけでなく、顧客の評価もシステムで確認できます。このように流通の最後までを通して把握できるシステムはバイヤーの評判も良く、バイヤーからの友人の紹介でバイヤーも増員しましたし、商品の確認・承認作業、およびビデオ会議による顧客対応にも人手が必要でしたので、信頼できる専門家として働けるように店舗から数人程度を何とか育て上げ、チームとして仕事を回す体制を整えることができました。

ところが先日、我々が宝石を販売した顧客から、この数ヶ月で購入した商品の情報とともに、自分の氏名等の個人情報が、とあるSNSサービスに公開されているとの連絡を受けました。そのお客様は、自慢の宝石の値段などを知人に知られては困るし、こういうお金関係の情報が外部に漏れると、仕事上も信頼に関わると、懸念をされていました。確認してみると、確かに、ある著名なSNSサービスに、我々の顧客十数名分の情報が公開されていました。SNS業者に連絡してすぐに当該情報を削除してもらいましたが、商品情報には、宝石の品質情報やペンダントや指輪に加工した際のデザインも含めて、我々の店舗関係者（と購入者）しか知らないはずの情報が掲載されており、うちからの情報漏洩が強く疑われる状況になりました。漏洩の痕跡はその時一回限りで、その後は発生していませんが、問題であることには疑いがありません。

顧客情報はモール業者のシステム内に、ショッピングモールのアカウントとして登録されており、登録顧客はモール内のどの店舗でも商品を購入できます。我々の店舗で商品を購入すると、モール業者のシステム内に、他店舗での購入と同様に記録が残ります。発送依頼はモールシステムを通して我々の店舗に連絡があり、我々はシステムが提示した住所に商品を発送して（貴重品なので相応の方法で発送しますが）、システムに発送した旨を登録します。これらの情報はスマートフォンアプリから店員アカウントでログインすれば閲覧可能で、発送登録も可能です。我々の店舗に特有の顧客とのやり取りは、全てメッセージ機能により実現されており、店員やバイヤーとのやり取りや、ビデオ会議の調整等もメッセージ機能により実現されます。デザイン設計や写真等はメッセージ機能内でファイルを添付できる機能により実現されます。このように、ショッピングモールのシステム自体は、モールとして一般的な仕様であると思います。

我々が使っているアプリはバイヤーログインと店員ログインが可能です。Webサイトにログインしてできる操作が全て実施可能ですが、特別にカスタマイズしてもらった経緯上、バイヤーログインはアプリからのみ可能です。バイヤーは先述の通り商品登録、質問への回答、値段変更等の操作が可能です。自分が出品した商品の販売履歴も閲覧可能であり、どのような商品にどのような客がついたのかを知るために重要であるため、購入者のプロフィール情報は閲覧できるようになっています。アプリはOS標準のアプリストアからダウンロード可能であり、スマートフォンの紛失・盗難時でも業務の継続に支障ありません。店員は、バイヤーの商品の品質等を、必要に応じてバイヤーとメッセージ交換することで確認し、承認します。また、顧客から商品への質問に回答したり（バイヤーが答えるべき質問と店舗が答えるべき質問があるのです）、ビデオ会議を設定して顧客との相談に応じたりします。セキュリティには配慮していて、店員は全員、個人のアカウントを設定しており、自分の担当商品に関する商品・取引情報（顧客のプロフィールを含む）や、店員・バイヤー・顧客間のメッセージ情報のみを閲覧できるようになっています。店員アカウントの中には管理者権限を持つものがあり、各店員の担当商品の設定等ができるだけでなく、それ以外の全てのデータの閲覧ができます。管理者権限を持つのは、店長である私と、副店長の店員の2名のみです。

モール業者に問い合わせをしたところ、ショッピングモールのWebサーバを設置しているクラウド業者とも協力して調査したが、外部からの不正侵入の痕跡は見つかっていないとのことです。特に、顧客情報が不正に取得されたのであればデータベースへのアクセスログがあるはずですが、この数ヶ月の間のアクセスログは全て、Webサイトまたはアプリからの正当なアクセスによるものだそうで、管理者権限等によるその他のアクセスも認められていないとのことでした。私はセキュリティのことは詳しくありませんので、完全に信頼して良いのかどうかわかりませんが、セキュリティホール等を利用して外部から侵入された可能性は低そうな気がします。

外部からシステムへの侵入でなければ、内部犯行が疑われると思いました。うちの店員やバイヤーは普段から対面の交流を大事にしてチームワークを高める取り組みをしていますので、仲が良く人間関係も良好ですから、それを裏切るようなことはないと思っています。しかし、念の為メンバー全員にそれとなく聞いてみました。当然のことながら、そんなことするわけないと全員に否定されました。内部犯の可能性も、これ以上の追求はできないと思っています。

状況は上記の通りです。これ以上は、どこをどう調査して良いのかわからず、途方に暮れています。何が起きた可能性が高いのでしょうか。いったいどのようにすれば原因を突き止めて、解決できるのでしょうか。どうやって犯人を絞り込めば良いのでしょうか。今から、短期的・長期的にどのように対応すれば良いのでしょうか。大変お手数をおかけしますが、アドバイスをいただけると嬉しいです。

どうぞよろしくお願いいたします。

△△宝飾店　

店主　白砂さらら