顧客情報流出で Barnes & Noble.com に罰金

ニューヨーク州検事総長の Eliot Spitzer 氏は、オンライン書籍販売大手の Barnes & Noble.com (NASDAQ:BNBN) に対し、同社の Web サイトに問題があり、扱いに注意を要する顧客情報が流出した件について6万ドルの罰金を科した。

和解案の一環として、Barnes & Noble.com は罰金を払い、Eコマース処理で収集した個人情報を保護する情報セキュリティプログラムを設置する。

さらに Barnes & Noble.com は、経営監視体制の確立、従業員トレーニングプログラムの実施、そして外部監査役を雇ってセキュリティプログラムの順守をモニターすることでも合意した。

重要な顧客情報の流出は、Eコマース企業にとって繰り返し発生する問題だ。悪意ある攻撃者が及ぼす絶え間ない脅威や、Eコマースソフトウェアにおける設計上の欠陥は、常にリスクとなる。

実際、今回の顧客情報流出の原因は、Barnes & Noble.com の Web サイトが持っていた設計上の欠陥だった。この問題により、氏名、請求先住所、アカウント情報などが流出した。ただしニューヨーク州当局は、クレジットカード情報の流出はなかったと述べている。

Spitzer 氏は調査の中、「(設計上の欠陥により) 顧客のアカウントおよび個人情報への不正アクセスを許し、顧客アカウントから Barnes & Noble.com のサイトで商品購入ができた」と述べた。

問題の欠陥は、Barnes & Noble.com が実施している「Cookie」を利用しないシステムに起因する。一般に Cookie はユーザーを識別し、時にはカスタマイズしたページを用意するなどの目的で用いる。反面個人情報を格納した Cookie ファイルが残ることを懸念する見方もあり、ユーザー側で Cookie を受け付けない設定にする例も少なくないため、Barnes & Noble.com のアプローチは設定状態の如何を問わず利用に支障をきたさないための手法の1つといえる。問題は顧客情報を URL に含めてしまうという点にあった。

ニューヨーク州当局は、「(利用者の誘導やリンクを掲示するといった) 特定の状況で、顧客情報を含んだ URL を不注意に掲示したり、サードパーティに転送していた」と述べた。