KURAND CLUBのカード情報漏洩

日本酒定期購入サービスを提供するKURAND CLUBからカード情報が漏洩した様です。

www2.uccard.co.jp

■公式発表　リカー・イノベーションが提供する日本酒定期購入サービス「KURAND CLUB」サイトへの不正アクセスによる、お客様情報流出のお詫びとご報告

5. 原因について
Q．今回の情報漏洩が起きた原因は何ですか。
A．第三者によって、「KURAND CLUB」のシステムの一部の脆弱性を突いた第三者の不正アクセスにより、ペイメントモジュールの改ざんが行われたため、外部からの不正アクセスを許してしまったことが原因です。今後はシステムセキュリティ体制を見直し、強化するなどの再発防止策を徹底してまいります。

（公式FAQより引用）

◆キタきつねの所感

このサイトは、カード漏洩が怪しいなと調べていたサイトではありませんでしたが、やはり「システムメンテナンス」が長期間（不自然に）続いていた様です。

魚拓サイトで調べると、下記のお知らせがひっかかりました。

f:id:foxcafelate:20190729185659p:plain

セキュリティコードまで取られているので、不正利用が出来てしまうカード情報が窃取された事件ではありますが、漏洩件数が23件とかなり少ないという印象です。その理由は漏洩が疑われる期間にありました。4日間だけで済んでいます。

(1) 流出したクレジットカード情報
　　対象：以下の期間に、当サイトにおいてクレジットカード決済を試みたお客さま
　　　　　 2019年3月11日～2019年3月14日　　
　　項目：カード会員名、カード番号、カード有効期限およびセキュリティコード
　　件数： 23件

（公式発表より引用）

データ侵害を受けるECサイトは監視体制があまり良く無い事が多く、システムに侵入された事を半年～1年も気づかない事はざらにあります。

今回の発表を見ると、ECサイトにしてはかなり早い検知だな・・・と思ったのですが、公式発表の時系列を見ると、警察庁からの連絡が驚くほど速かった様です。

カードの不正利用の疑いは、決済代行会社かカード会社から連絡がされる事が多いかと思いますので、別な事件で関連する情報を警察庁が得ていた、、、そんな事なのかも知れません。

3月14日(木)

クレジットカード情報が当サイトから流出した可能性がある旨警視庁から連絡を受け、ただちに緊急対策本部を設置しました。同日、当サイトおよび別に弊社が運営する日本酒オンラインストア「KURAND」のECサイトにおけるサービスをともに停止しました。また、原因を究明し、実態を正確に把握するために、第三者調査機関「P.C.F. FRONTEO株式会社」へ調査を依頼しました。

（公式発表より引用）

おそらく、フォレンジック調査会社（P.C.F. FRONTEO社）さんの助言かと思いますが、不正アクセスの原因については、他の情報漏洩事件と同じく、「システムの一部の脆弱性を突いた第三者の不正アクセス」としか発表されていません。

こうした場合、再発防止策を見ると事件の原因が浮かび上がる事が多いので、見てみたのですが、、、正直普通の対策が書いてあるだけでした。

7．今後の再発防止策
このたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、今後二度と同様の事態を発生させることがないよう、再発防止策の構築ならびにお客様情報保護体制の一層の強化に取り組んでまいります。想定しております具体的な対策は以下のとおりです。

(1) 当サイトのサーバーの再構築。
(2) 個人情報の取得を目的とした外部からの不正アクセスに備え、サイバーセキュリティ対策を強化（防御装置（TRUSTe）の取得に向け社内整備中)。
(3) 当社が運営する全てのサービスにおけるシステムセキュリティ体制を強化するとともに、運用に対するガイドラインの見直しと安全点検、監視の強化。
(4) 内部統制およびコンプライアンスの向上。

（公式発表より引用）