豊かな自然と温暖な気候に恵まれた鹿児島県志布志市。日本一「志」の多いまちとして有名だが、鰻やお茶、肉、海産物など、特産品も豊富だ。
そんな志布志市は2023年6月、同市が運営するふるさと納税特設サイトに対する外部からの不正アクセスにより、クレジットカード情報を含む個人情報が流出する事故が発生したことを公表した。
クレジットカード情報漏えいに関する報告文は似通ったものが多いなか、志布志市のプレスリリースは、発覚の経緯や対応状況を詳細に説明するだけでなく、攻撃手法についても明らかにした点が特徴的だった。こうしたほかの企業や組織にとっても参考になる徹底した情報公開と被害者に寄り添った対応が評価され、志布志市は第9回情報セキュリティ事故対応アワード 特別賞を受賞した。
対応の指揮を執った同市港湾商工課 課長 大迫秀治氏に、危機管理において意識していたポイントについて詳しく話を聞いた。
ファンとの継続的な関係性づくりのために特設サイトを運営
志布志市は2008年からふるさと納税に取り組んでおり、2015年からは返礼品として特産品の送付を開始した。大迫氏は、ふるさと納税に力を入れる理由をこう語る。
「ふるさと納税は、全国の方からいただいた『志』に対し、特産品という形でお返しすることで、志布志市のイメージアップを図るとともに、ファンを増やして交流人口拡大や移住定住につなげる重要な取り組みです。また、まちづくりの財源確保という面もあります」(大迫氏)
楽天やふるさとチョイスなど複数のふるさと納税ポータルサイトに加え、2015年には志布志市独自の特設サイトを開設。オープンソースのECサイト構築パッケージ「EC-CUBE」を用いて外部委託により構築したという。
「特設サイト経由の寄附はほんの数%ですが、特設サイトを設けることで志布志市のファンを獲得し、継続的な関係性を築くことを狙っていました。開発会社から提案されたEC-CUBEは当時、ECサイト構築によく使われているサービスでしたし、特産品との連携のしやすさを考えた上で、採用を決めました」(大迫氏)
「システムは停止していたのになぜ?」 クレジットカード会社からの連絡で情報漏えいが発覚
転機となったのは、2022年。EC-CUBEの脆弱性の報告が増えはじめ、実際に事故も発生している状況を鑑み、「寄附者の情報を大切にしたい」という思いから、志布志市はシステムの切り替えを決断し、同年10月にEC-CUBEで構築した特設サイトを停止。別サービスを利用して総合的なファンサイトとして再オープンすることを計画していた。
しかしながら、2023年4月6日、クレジットカード会社からカード情報流出の懸念があると市に直接電話で連絡が入った。被害発覚の経緯について、大迫氏は次のように説明する。
「最初は半信半疑でした。特設サイトはすでに停止していたからです。『そもそも止めているシステムなのになぜ?』という思いでした。しかしながら、委託先の調査で、2021年3月にサイバー攻撃を受けていたことが判明しました。システムを停止する前に侵入されてしまっていたのです」(大迫氏)
攻撃は、EC-CUBEの脆弱性を悪用したクロスサイトスクリプティング(XSS)によるものだった。志布志市2021年11月にWAFを設置していたが、そのときにはすでに侵入されていたことになる。
独自に整備していた危機管理マニュアルが役に立った
クレジットカード会社から連絡を受けた大迫氏は、即座に所内に対策本部を設置。委託会社を通じてデジタルフォレンジック専門業者に調査を依頼し徹底的な原因究明を進める一方、鹿児島県警サイバー対策課や個人情報保護委員会への報告も行った。