SaaS型ECサイト構築プラットフォーム「futureshop」を運営する株式会社フューチャーショップは4月21日、本年8月24日に予定していたセキュリティ強化のための仕様変更を4月26日に前倒しして実施すると発表した。さらに同社では11月を目処に、これまでのIDとパスワードのみの認証から、管理者ログインの多要素認証実装を行うという。これらの前倒し対応及び多要素認証実装計画のきっかけとなったのは、4月20日に発生した「futureshop」ユーザーにおいて発生した、悪意ある第三者による管理者アカウントへの不正ログインだった。なお、futureshopシステムに当該不正ログインの原因となる脆弱性は存在せず、原因はユーザーの管理者アカウントの漏えいであった。Webセキュリティの国際検証基準「OWASP ASVS 4.0」などでは以前から認証に関して、ブルートフォースアタックを防ぐレート制限などと併せて、多要素認証とリスクベース認証が推奨されており、IDとパスワードのみの認証は、もはや主流ではないどころか、はなはだ頼りない手段になりつつある。しかし、サービス提供事業者側のコスト負担が嫌われる、あるいはユーザー側がセキュリティ機能よりもまずは料金の安さを求めるなどの実状もあり、多要素認証を採用しているのは、都銀などの金融機関やLINEやGoogleなどのプラットフォーマー等にまだまだ限られているのが現状だ。そしてひとたび事故が発生すると「ユーザーの自己責任」。これが現在大半のサービス提供事業者がとる、あるいはとらざるをえない管理方法だ。一方で、本事例のようなサービス提供事業者も存在する。サービス提供側に直接の責任がない不正アクセス事案をきっかけに、事故が発生する前に前倒して、さまざまなセキュリティ対策を実施する事例は、攻めのセキュリティ投資の好例であり、DX推進の事例のひとつとも捉えることができるだろう。
