米アマゾン・ドットコム子会社のアパレル小売サイト「ザッポス・ドットコム(Zappos.com)」のサーバーに何者かが不正侵入し、少なくとも2400万人分の顧客情報が盗まれた恐れがあるとして、騒動になっている。

苦渋の決断、顧客のパスワードをすべて無効に

2011年、最もよく使われたパスワードは?

簡単なパスワードは避けたい〔AFPBB News

 ザッポスは今のところ詳細を明らかにしていないが、米ウォールストリート・ジャーナルによると不正侵入があったのは1月14日と15日。

 ザッポスのトニー・シェイ最高経営責任者(CEO)が従業員に宛てた電子メールによると、侵入者は顧客の名前、電子メールアドレス、電話番号、請求・配送先住所、クレジットカード番号の下4桁、暗号化されたパスワードにアクセスした可能性があるという。

 ただ、完全なクレジットカード番号や、決済データといった重要な情報を格納しているサーバーは侵入されておらず、それが唯一の救いだったとシェイCEOは述べている。

 またザッポスは緊急措置として既にすべての顧客のパスワードをリセット(無効化)しており、顧客に対し、新たなパスワードを設定し、併せて類似したパスワードをほかのサイトで使っている場合は、そちらも変更するよう呼びかけている。

 数千万人に上る利用者にパスワード設定をし直してもらうことは容易なことではなく、今後の同社の業績に影響を及ぼしそうな事態となっている。

 シェイCEOは電子メールの中で、「創業から12年、我々はブランドを強化し、高い評価を得て、顧客との信頼を築いてきたが、今回のようなたった1つの出来事で、大きく後退せざるを得ないのは非常につらい」と述べており、同氏が断腸の思いでパスワードの無効化を決断したことがうかがえる。

ザッポスを襲った被害を教訓に

 ただその一方で、ザッポスの行動はサイバー攻撃の手口についてまだ詳細が分かっていない段階でいち早く取られた最善の策だったと同社を評価する意見も出ている。

 米フォーブスの記事もザッポスのセキュリティー対策に一定の理解を示したうえで、むしろ注意しなければならないのは我々消費者側だと指摘している。とりわけ安易なパスワードを使う人が多く、たとえ暗号化されていても攻撃者はいとも簡単に見破ってしまうという。