2025年　第20回情報危機管理コンテスト一次予選　問題文 

 
貴方は情報セキュリティに関する専門家としてコンサルティング業務を行っています． 顧客企業から次のような相談が来ましたので，この相談に対してアドバイスをしてください． 

------------------------------------------------------------------------------------------------------- 

私どもは雑貨店を営んでいます。元々はよくある雑貨店だったのですが、次第に近所の方から手作り雑貨の委託販売をお願いされるようになり、今では店の一角が手作り雑貨コーナーになっています。また、最近では感染症の対策として、ネット通販も始めました。これは、アルバイトに来てくれていた学生が提案してくれたもので、元々Webサイトを管理していたCMSにECサイトの機能を追加するプラグインがあるからと、設定から運用までその学生がこなしてくれていました。初めはネット通販にはあまり期待していなかったのですが、意外に手作り雑貨が好評で、新作が出ていないかを定期的にチェックしてくれるお客様もいらっしゃいます。今回ご相談したいのは、このECサイトのクラウド化によるトラブルについてです。 

今までECサイト機能を運用してくれていたアルバイトの学生が就職に伴い弊店を辞めてしまったため、これを機にECサイトをクラウド化してしまうことにしました。これは、その学生が居なければECサイトのメンテナンスがおろそかとなり、セキュリティ上の欠陥となってしまう可能性があったためです。移行先には、「会員情報を私たち自身で管理できること」「実店舗のPOSレジと連携して、売上情報やポイントを一元化できること」から、A社のSaaS型ECサイト構築サービスを選びました。また、このサービスでは、店舗ごとに個別の仮想サーバが割り当てられ、データベースも他店と完全に分離されるので、高いセキュリティが見込めることも魅力でした。 

ECサイトの構築そのものは非常にスムーズに終わったのですが、データ移行にはちょっとした苦労がありました。情報の一元管理のために、今まで別々のデータベースで管理されていた、実店舗の会員情報とECサイトの会員情報を突き合わせて名寄せする作業が必要だったのです。実店舗の会員情報は「会員番号、氏名、生まれた年、住所、携帯電話番号（任意）、メールアドレス（任意）、ポイント」でした。また、ＥＣサイトの会員情報は「アカウント名、氏名、生年月日、住所、携帯電話番号、メールアドレス、ポイント」でしたので、このアカウント名を新ECサイトに引き継ぐことにしました。メールアドレスや携帯電話番号で名寄せできればよかったのですが、実店舗の会員情報ではそれらが任意だったこともあり、上手く統合することができませんでした。そこで、オープンソースのソフトウェアを使って「氏名、生まれた年、住所」、が一致する会員様を統合しようとしたのですが、表記ゆれだけでなく、（特にECサイトでは）お名前や生年月日を偽って登録していると思われる会員様もいらっしゃり、少なくない数のデータの統合に失敗してしまいました。最終的には臨時で雇った短期アルバイトと協力して、人力で確認するしかありませんでした。それでも、全体の3割ほどは統合するのに十分な確証が持てず、宙に浮いた状態となってしまいました。また、実店舗のみで会員だった会員様はアカウント名が空欄になってしまいますので、その場合は会員番号（会員様のイニシャル＋通し番号で表される8桁の番号。例えば山田花子ならばYH000123）を新ECサイトのアカウント名とすることにしました。どうにかデータ移行も完了し、新しいECサイトをオープンしたのが2週間ほど前のこととなります。 

新ECサイトをオープンしてからの最初の山場は、どうやって新ECサイトにログインしてもらうかでした。それといいますのも、初回ログイン時にA社のアカウントを取得していただく必要があったためです。A社のログイン機能は独特で、A社のSaaS型ECサイトで会員登録したいユーザは、まずA社のアカウントを取得し、その後に各店舗の会員に登録する仕組みになっています。その代わり、一度A社のアカウントでログインしてしまえば、どの店舗でも会員登録をスムーズに進めることができます。具体的には、会員登録に必要な氏名や住所、メールアドレス等の基本情報が、A社アカウントに紐づいた情報を用いて自動入力されるので、登録時の手間を大きく減らすことができます。さらに、シングルサインオン機能により、会員となった店舗には、IDやパスワードを入力することなくログインできます。私には詳しくは分からないのですが、どうやらソーシャルログインと同様の仕組みで、A社アカウントと各店舗の会員アカウントを連携しているそうです。弊店のようにＥＣサイトの引っ越しのケースでは、既存会員様の手間という意味ではあまり利点は無さそうでしたが、他店のお客様が弊店の会員になっていただくハードルは下がりますし、弊店が会員様のパスワードを管理しなくて良いという点は大きな強みです。 

話が少し逸れてしまいましたが、今回の私どものケースで既存会員様に新ＥＣサイトをご利用いただくためには、まずA社アカウントを新規に取得していただき、その後に弊店の新ＥＣサイトの「ログイン/新規登録」ボタンをクリックしていただく操作が必要でした。そうしますと、弊店の会員リストから、「A社アカウントに紐づいたメールアドレス」と同一のメールアドレスで登録されている会員を探して、見つかればID連携が完了するという仕組みです。ただし、異なるメールアドレスで弊店に登録されている会員様にはもうひと手間が必要となります。その場合は、弊店の会員IDを確認するページに遷移しますので、会員ID（会員番号か旧ECサイトのアカウント名のいずれか）を入力していただくと、ID連携が完了します。 

このように、初回ご利用時には少なくない手間を煩わせてしまうことになります。そこで、会員様に新ECサイトのオープンとアカウント移行のお願いを、数回に渡り電子メールでお伝えしました。この案内メール内には、新ＥＣサイトのログインページへのＵＲＬと初回ログイン時の手順に加え、ご協力の御礼として弊店のポイントを付与することを記載しました。電子メールのタイトルは「新ＥＣサイトのオープンのお知らせ」「初回ログインキャンペーンのお知らせ」等、なるべく目に留まりやすいタイトルにしたつもりです。また、同様の内容を弊店Ｗｅｂサイトに掲載したほかに、新ECサイトへのQRコードを印刷したポスターも店頭に掲載し、ご来店したお客様への呼びかけも行いました。その甲斐あってか、新ＥＣサイトのオープンから時間が経つにつれ、徐々に新ＥＣサイトの利用率も高くなってきました。 

さて、ここまでは順調でほっとしていたのですが、数日前から「注文した覚えの無い商品が届いた」というクレームが数点届くようになりました。中にはアカウント情報の漏えいを疑っているお客様もいらっしゃいました。当該のお客様には、ひとまずご迷惑をおかけしたことを詫び、調査中であることをお伝えしました。当該お客様の注文履歴を確認してみると実際に注文が行われており、誤発送したわけではなさそうでした。一名からのクレームであればお客様の過失も考えられたのですが、複数名から同様のクレームをいただいてしまっているので、本当に会員様のアカウント情報が漏れてしまいっているのではないかと不安を抱いています。 

A社のSaaS型ECサイトを利用している他の店舗では、情報が漏えいしたという話は聞こえていませんので、もし情報が漏えいしているとしたら、弊店の落ち度という可能性が高そうに思っています。現在、会員様本人以外で会員情報にアクセスできるのは、ECサイト管理者用のWebインタフェースのみのはずです。管理者用のWebインタフェースからは、弊店に登録したアカウント名やお名前、住所、メールアドレス等を確認できる他、当該メールアドレスに対して発送完了のメールを送ることができます。つまり、弊店では原則として，Ａ社アカウントに紐づいた情報を扱いません。また、管理画面からパスワードを確認することもできません（会員様のログイン情報はA社の管理下にあります）し、特定の会員様を騙って発注することもできません。したがって、たとえ管理画面に不正にアクセスできたとしても、会員様を騙って発注することは難しそうにも思われます。 

今回被害に遭われた会員様のメールアドレスが流出していた場合は、そのメールアドレスを使ってA社アカウントを作成すれば成りすませる可能性はあります。しかし、A社アカウントの作成の際には、登録したメールアドレスに対して確認コードを送っているそうなので、誰かが会員様に成りすましてA社アカウントを作成した可能性も低そうです。 

また、旧ECサイトからの情報漏えいについても考えました。先述の通り、旧ECサイトは元々Webサイトを拡張する形で運用していました。このWebサイトを管理しているCMSは弊店内に設置しているWindowsサーバ上で稼働しておりまして、現在もブログによる情報発信や問い合わせの窓口に活用しています。新ECサイトのご案内を掲載しているのもこのサーバになります。ＥＣ機能プラグインは無効化してあるため会員情報にはアクセスできないはずですが、ここから情報が漏えいした可能性はあるのでしょうか。 

状況は上記の通りです。何から手を付ければ良いのかわからず、途方に暮れています。何が起きた可能性が高いのでしょうか。いったいどのようにすれば原因を突き止めて、再発を防止できるのでしょうか。今から、短期的・長期的にどのように対応すれば良いのでしょうか。大変お手数をおかけしますが、アドバイスをいただけると嬉しいです。 

どうぞよろしくお願いいたします。 

〇×雑貨店 

店主　月島 まどか