Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

ミヨシ石鹸への不正アクセス事件をまとめてみた。

2017年11月13日、せっけんのECサイトミヨシ石鹸)の通信販売サイトに不正アクセスにより、クレジットカード情報392件が漏えいした事を発表しました。この関連情報をまとめてみます。

インシデントタイムライン

日時

出来事

2017年6月6日

~2017年8月31日

クレジットカード決済で購入情報が流出し、一部顧客のクレジットカード情報が不正利用

 2017年8月31日

クレジットカードの決済代行会社よりクレジットカード情報流出の懸念があると指摘を受ける

クレジットカード決済の停止

フォレンジック調査会社(Payment Card Forensics社)に調査を依頼

 2017年10月19日

調査会社より、最終報告書を受領し、不正アクセスによりクレジットカード情報等の流出を確認

公式発表

原因
  • Webサーバに外部から不正アクセスを受け、アプリケーションファイルが改ざんされクレジットカード会員データが不正に取得
事件の状況 
  • 2017年6月6日~2017年8月31日までにクレジットカード決済を利用した顧客(最大392件)のクレジットカード情報が外部に漏えいした疑い
  • 流出した可能性のある個人情報
    • カード会員氏名
    • カード番号
    • カード有効期限
    • セキュリティコード

再発防止策

  • セキュリティ専門会社のアドバイスのもと、 
   ①通販サイトのセキュリティ強化
   ②通販サイトの管理・運営方法についてもセキュリティ・安全性確保の観点から随時見直し 
 

◆キタきつねの所感

ECサイト(EC加盟店)に経産省JCAの指導している実行計画が浸透していない事が現れている事件かもしれません。やはりセキュリティコードが漏れていることから、PCI DSS視点では、プログラム等々の実装違反が疑われます。(ECサイト側には決済終了後にセキュリティコードは残してはいけない)セキュリティ専門会社の助言の元で、おそらく自社側システムの改修ではなく、PCI DSS準拠の決済代行業者にに決済を代行してもらう形に変更していくのでしょうが、再発防止策を裏読みすると、「通販サイトとしてセキュリティ・安全性対策確保は考えてなかった」事が大きな原因となっているかと思います。

8月はタカゴルフも情報漏えい事件を起こしていましたので、他のECサイトも自社でカード情報を抱えている所は、来年3月のガイドライン期限を待たずに、対策を進めていかないと事件が発生するリスクがある事を認識すべきなのだと思います。

関連ニュース記事

 お風呂のイラスト「石鹸・石鹸置き」

 

更新履歴

  • 2017年11月17日 AM 新規作成