セキュリティニュース

スマレジ 連携外部アプリベンダーから会員データ流出 スマレジ本体システムは侵害なし

クラウド型POSレジサービスを提供する株式会社スマレジ(大阪市)は8日、同社と連携する特定の外部アプリにおいて、その提供元である外部アプリベンダーが保有する会員データが流出したことが判明したと発表した。スマレジ本体のシステムからの情報流出はないという。同社はハッカーフォーラムに投稿が確認されたことを受けて調査を開始し、外部アプリベンダー側からの流出であることを確認した。同社は現在、外部の専門機関と連携し、詳細な調査を進めている。スマレジは様々なビジネス向けに高機能なクラウドベースのPOSシステムを提供しており、多数の店舗で利用されている。

不正アクセスによる被害の発生に関するお詫びとお知らせ|株式会社スマレジより引用

ハッカーフォーラムに投稿されたスマレジに関する投稿(この投稿が調査のきっかけとなった、サンプルデータはマスク処理済み)

ハッカーフォーラムへの投稿が調査のきっかけ

インターネット上のハッカーフォーラムにスマレジのデータ侵害を主張する投稿が確認された。

スマレジはこの投稿を受けて直ちに調査を開始した結果、スマレジ本体のシステムではなく、連携する外部アプリベンダー側からの流出であることが判明した。ハッカーフォーラムへの投稿が、外部アプリベンダーでの情報流出を発見するきっかけとなった形だ。

外部アプリベンダーからの流出が判明

スマレジは8日、調査の結果、スマレジ本体のシステムへの不正アクセスはなく、同社と連携する特定の外部アプリの提供元(外部アプリベンダー)が保有する会員データが流出したことが判明したと発表した。

スマレジのPOSシステムは、様々な外部アプリと連携できる拡張性を持っている。今回の流出は、こうした連携先の外部アプリベンダー側で発生したもので、スマレジ本体のシステムやデータベースは侵害されていないという。

同社は現在、外部の専門機関と連携して、流出した情報の範囲や影響を受ける可能性のある利用者の特定などを進めている。また、該当する外部アプリベンダーとも連携して、被害状況の把握と再発防止策の検討を行っている。

外部アプリ連携のセキュリティリスク

今回の事案は、プラットフォーム本体ではなく、連携する外部アプリベンダー側からの情報流出というケースだ。クラウド型のサービスでは、機能拡張のために様々な外部アプリと連携できる仕組みを提供することが一般的だが、これにはセキュリティリスクも伴う。

外部アプリベンダーが適切なセキュリティ対策を講じていない場合、そこから情報が流出するリスクがある。プラットフォーム提供者は、連携する外部アプリベンダーのセキュリティ水準を確認し、定期的に監査することが求められる。

また、外部アプリが保有するデータの範囲や、データの保管方法についても、利用者に明確に説明することが重要だ。

スマレジと外部アプリ連携

スマレジは、iPadやiPhoneを使用したクラウド型POSレジシステムを提供する企業だ。初期費用や月額費用を抑えて導入できることから、中小規模の店舗を中心に広く利用されている。

同社のシステムは、様々な外部アプリと連携できる拡張性を持つ。在庫管理、会計ソフト、予約システム、配送管理など、多様な外部アプリと連携することで、店舗運営の効率化を図ることができる。

ただし、こうした外部アプリとの連携では、外部アプリベンダー側でもスマレジの利用者に関する一部のデータを保有することになる。今回の流出は、この外部アプリベンダー側で発生したものだ。

サプライチェーン攻撃のリスク

今回の事案は、プラットフォーム本体ではなく、連携する外部ベンダーを標的とした、いわゆる「サプライチェーン攻撃」の一形態と言える。攻撃者は、セキュリティ対策が手薄な関連企業を狙い、そこから本命のターゲットに関連する情報を窃取することがある。

大手のプラットフォーム事業者は通常、高度なセキュリティ対策を講じているため、攻撃者はより脆弱な連携先や取引先を標的とすることが増えている。2020年代に入り、サプライチェーン攻撃は世界的に増加傾向にある。

プラットフォーム事業者は、自社のセキュリティだけでなく、連携する外部ベンダーのセキュリティ水準も管理する必要がある。外部ベンダーの選定時のセキュリティ審査、定期的な監査、インシデント発生時の連携体制の整備などが重要だ。

利用者の対応

スマレジを利用している事業者は、同社からの公式な発表と、該当する外部アプリベンダーからの通知を注視する必要がある。流出したデータの範囲や、影響を受ける可能性のある利用者については、調査結果が判明次第、通知される見込みだ。

該当する外部アプリを利用していた事業者は、顧客への注意喚起が必要となる可能性がある。また、不審な電話やSMSを受け取った場合は、安易に個人情報を提供しないよう注意が必要となる。

なお、スマレジ本体のシステムは侵害されていないため、スマレジのアカウント情報の漏洩はないとみられるが、セキュリティ対策としてパスワードを他のサービスでも使い回している場合は、変更を検討すべきだ。

迅速な情報開示と透明性

スマレジは今回、ハッカーフォーラムへの投稿を受けて速やかに調査を開始し、外部アプリベンダー側からの流出であることを確認した。そして、スマレジ本体のシステムは侵害されていないことを明確に公表した。

このような迅速な情報開示は、利用者の不安を軽減し、適切な対応を促すために重要だ。特に今回のように、プラットフォーム本体ではなく外部ベンダー側の問題である場合、その事実を明確に伝えることで、不必要な混乱を防ぐことができる。

一方で、外部アプリベンダー側も、自社が原因である事実を認め、影響を受けた利用者への通知と再発防止策の実施を速やかに行う必要がある。サプライチェーン全体での透明性のある対応が求められる。

今後の展開

スマレジは今後、外部の専門機関と連携して、流出した情報の範囲や影響を受ける可能性のある利用者の特定を進める。また、該当する外部アプリベンダーとも協力して、侵入経路の特定、流出データの詳細確認、再発防止策の策定を行う必要がある。

外部アプリベンダー側では、不正アクセスの原因となった脆弱性の修正、セキュリティ対策の強化、影響を受けた利用者への個別通知などが求められる。

スマレジ側では、今回の事案を踏まえて、連携する外部アプリベンダーのセキュリティ審査基準の見直し、定期的な監査体制の強化、インシデント発生時の連携体制の整備などが課題となる。

クラウド型サービスにおける外部連携のセキュリティ管理は、業界全体の課題でもある。今回の事案が、サプライチェーン全体でのセキュリティ対策強化のきっかけとなる可能性がある。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,