Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

アサヒ軽金属のカード情報漏えい事件

またクレジットカード情報漏えい事件がSecurity nextで報じられていました。

www.security-next.com

■公式発表

弊社が運営する「Webショッピングサイト」への不正アクセスによる
個人情報流出に関するお詫びとお知らせ

 

事件の状況 
  • 2018年6月6日にクレジットカード会社からカード情報流出懸念の連絡を受ける
  • 2017年1月14日~2018年5月25日の間にWebショッピングサイトでクレジットカード購入をした最大77,198名の情報が流出した可能性がある
  • 流出した可能性があるのは、カード会員名、クレジットカード番号、有効期限
事件の原因

 

◆キタきつねの所感

7.7万件のカード情報漏えいは、最近のECサイトの漏えい事件としては件数が多い方かも知れません。セキュリティコードは漏えいしてない事と、改正割賦販売法の6/1施行前である事を考えると、カード情報非保持の対応中であった可能性も考えられそうです。

この推測が正しければ、恐らく内部DBにカード情報を保有していたのだと思います。(実行計画上は3月末以降、改正割賦販売法上は6/1以降だとカード情報を内部に保有する場合はPCI DSS準拠が必要)

見方を変えれば、ギリギリまで対応を引っ張った(もっと時間はあったはずなのですが・・・)が故に狙われたのかも知れません。

クレジットカード情報が漏えいした場合、再発行に関しては、漏えいした加盟店側の責任になる事が多いのですが、仮にその対応費用(カード代、郵送費、お詫び印刷物等)が仮に1件当たり1,000円だとして、7.7万件だと、7,700万円の費用となります。更にフォレンジック調査会社の調査費用、セキュリティ追加対策費用などを考えると・・・セキュリティは経営リスクである、は正しいと言えそうです。

 

 

圧力釜・圧力鍋のイラスト

 

更新履歴

  • 2018年8月2日PM(予約投稿)