Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

C.O.Uオンラインショップの個人情報流出事件を考えてみる。

バックや財布などを販売する「C.O.Uオンラインショップ」を運営する有限会社ケイズファクトリー不正アクセスにより、顧客のクレジット情報を漏えいした疑いがあると発表しました。この件について考えてみます。

f:id:foxcafelate:20180130185523j:plain

 

インシデントタイムライン

日時 出来事
2017年9月15日 カード会社から情報漏えい懸念の連絡を受ける
2017年9月15日~ クレジットカード決済を休止
2017年9月23日 外部の専門調査会社PCF社に調査を依頼
2017年10月20日

PCF社から最終調査結果報告を受領

不正アクセスによりクレジットカード情報等が流出したことが判明

2017年12月25日 個人情報保護委員会へ報告
2017年12月28日 茨城県警察本部に被害申告
2018年1月16日 事件を発表
情報流出が懸念されるお客に書面にて連絡

 

■公式発表

事件の状況 
  • 2017年8月5日~2017年9月15日までにショッピングサイトでクレジット決済を利用した最大335件の個人情報が不正アクセスにより外部に漏えいした疑い
  • 流出した可能性のある個人情報
    • 氏名
    • クレジットカード番号
    • 有効期限
    • セキュリティコード

原因

  • Webアプリケーションの脆弱性を利用した外部からの攻撃

再発防止策

  • システムの脆弱性および管理体制の不備に対し、実施可能な施策を行うとともに、更なるセキュリティ強化・改修を進める

◆キタきつねの所感

今回の不正アクセスにより被害を受けたのは、「有限会社ケイズファクトリー」であり、攻撃者はECサイト規模の大小を問わずに、とりあえず脆弱性を探して侵入し、重要(そうな)資産を持ち出している事が伺えます。ECサイトを運営する以上は狙われる可能性がある事を各ECサイト事業者は改めて認識する必要があると言えます。

またPCI DSS上では保存が禁止されているセキュリティコードが漏れている事はさておき、事件の時系列には不自然なところがあります。10月20日にPCF社から事件報告書を受領し、カード情報が漏えいした事を把握しながら、何故3ヶ月も経って事件を発表しているのでしょうか?

 

8、公表が遅れた経緯について

2017年9月15日の流出懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました (リリースより引用)

 

ケイズファクトリーの発表によれば、調査会社の結果(10月20日)、およびカード会社のとの連携を待って・・・とありますので、言葉通りに捉えるならば、カード会社との連携に3ヶ月かかったという事になりますが、、、そんなに時間がかかるのかは疑問です。

管轄官庁や警察への報告も12月末ですので、「事件を隠す」つもりで動いていたと考えられても仕方がないのではないでしょうか。

 

時間どろぼうのイラスト

 

更新履歴

  • 2018年1月30日 AM(予約投稿)