Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

タカゴルフホームページへの不正アクセス事件をまとめてみた。

2017年11月7日、ゴルフ用品のECサイトタカゴルフホームページ)のWEBサーバへの第三者による不正アクセスにより、クレジットカード情報を含む個人情報2,339件が漏えいした事を発表しました。この関連情報をまとめてみます。

インシデントタイムライン

日時

出来事

2010年9月7日

~2017年8月16日

クレジットカード決済で購入情報が流出し、一部顧客のクレジットカード情報が不正利用

 2017年8月16日

クレジットカード会社からクレジットカード情報流出の懸念があると指摘を受ける

クレジットカード決済の停止

 2017年8月29日

調査(フォレンジック調査)会社に調査を依頼

 2017年9月29日

(調査会社より)最終報告書を受領し、情報流出の事実を確認

公式発表

原因
事件の状況 
  • 2010年9月7日~2017年8月16日までにクレジットカード決済を利用した顧客(2,339件)のクレジットカード情報が外部に漏えいした疑い
  • 流出した可能性のある個人情報
    • クレジットカード番号
    • セキュリティコード
    • 有効期限
    • 氏名
    • 住所

再発防止策

  • 情報管理体制の強化 
   ①個人情報管理に対する意識の徹底 
   ②情報セキュリティ管理体制の強化 
   ③情報セキュリティインフラの整備と強化(クレジットカード情報非保持への切り替え)
   組織体制の再整備や役割の再周知、規定マニュアル類の新設・更新、教育研修、監査

◆キタきつねの所感

この事件は、情報セキュリティというものに対して、個社が真剣に取り組んで無い場合にこうしたリスクがあるという典型例な気がします。私の専門でもあります、PCI DSSの視点ですと、「セキュリティコード」が流出情報の中に入っているだけで、Webサイトの構築が根本的に間違っていたと推測します。(※PCI DSSではセキュリティコードの保存を認めてません)

また、2010年から社内にクレジット情報を貯めていた・・・問題ですね。経産省JCAもこうした実装ミスが増えてきているので実行計画でPCI DSS準拠もしくは非保持に向けて取り組みを進める様に促している訳ですが、何もしてなかったのではないかな・・・と想像します。

最後にひっかかりましたのが、再発防止策です。立派な事が書いてあります。ですが、不正アクセス脆弱性を技術的対策で直す以外で、再発防止策にかかれている規定整備・教育等々・・ここに書かれるということは、『やってなかった』という事に他ならないのではないでしょうか。

 

※最終報告書出た後ですので、おそらく発表されないでしょうが、”不正アクセス”なるものが、何の脆弱性を突かれたものなのか・・気になる事件です。

 

関連ニュース記事

 ゴルフ肘のイラスト

 

更新履歴

  • 2017年11月8日 PM 新規作成