Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

WINWINSTYLEへの不正アクセス事件をまとめてみた。

2017年10月30日、株式会社インタープランニングは同社の運営する「WINWINSTYLE STORE&OUTLET」において、第三者による不正アクセスを受けクレジットカード情報(53件)が流出した可能性があることを発表しました。その関連情報をまとめてみます。

インシデントタイムライン

日時

出来事

2017年6月15日

~8月4日

クレジットカード決済で購入情報が流出し、一部顧客のクレジットカード情報が不正利用

 2017年8月4日

クレジットカード会社からクレジットカード情報の流出懸念の連絡

運営サイトでのクレジットカード決済の停止

 ~9月25日

Payment Card Forensics社による調査

(不正利用の可能性が高いことを確認)

 10月6日

警視庁深川署に被害申告

10月20日

個人情報保護委員会に報告

公式発表

原因
事件の状況 
  • 2017年6月15日~8月4日にクレジットカード決済を利用した顧客(53名)の個人情報が外部に漏えい
  • 流出した可能性のある個人情報
    • クレジットカード名義人名
    • クレジットカード番号
    • 有効期限
    • セキュリティコード
    • クレジットカード名義人住所情報

再発防止策

  • システムのセキュリティ対策および監視体制の強化

◆キタきつねの所感

またもセキュリティコードが漏れるという事件が出てきました。PCI DSS準拠の観点ではセキュリティコードを保管する事は禁止されていますので、何らかのシステム実装ミスがあったのかと思います。恐らく決済代行業者に決済部分を任せる形で改修するのでしょうが、「セキュリティコード」漏えい事件が続くのは加盟店の意識の低さをうかがわせるものがあります。

PCF社の調査後なので、これ以上の公式リリースは出てこないのだと思いますが、「システムの脆弱性」「不正アクセス」・・・とではなく、何の脆弱性を受けての不正アクセスなのか、被害を受けた企業から発表されないと、類似した事件は今後も出てきてしまうかと思います。(余程発表したくない程、簡単な脆弱性=パッチ当てを怠っていたのでしょうか?)

 

 ゴルフバッグのイラスト

 

更新履歴

  • 2017年11月5日 新規作成