宅配クリーニング大手のせんたく便のシステムが不正アクセスを受けてカード情報を漏えいした可能性があると発表しました。
www.jreast.co.jp
公式発表
【せんたく便/ヨシハラシステムズ】
・弊社が運営する「せんたく便」への不正アクセスによる個人情報流出に関するお詫びとお知らせ
【マイスターせんたく便/白永舎】
・個人情報漏洩についてのお詫びとご報告について
キタきつねの所感
ヨシハラの「せんたく便」と言えば宅配クリーニングの先駆者とも言えるサービスで、2009年からサービスを開始し、宅配便だけでなく、コンビニ等からもクリーニングを依頼できる様になっています。
2015年にはせんたく便の会員は15万人を超え、自社で蓄積したノウハウを元に「宅配クリーニングCloud」を展開し、自社だけでなく他社にもAPI連携のプラットフォームを提供しています。
※今回同じく不正アクセス被害を受けた白永舎はヨシハラの宅配クリーニングCloudを利用していた様です。
事件を受けての公式発表を見ると、詳細手口は分からない事が多いものの、侵害につながった脆弱点が浮かび上がってくる事が多いのですが、今回は「読んでいて矛盾を感じる」内容でした。
ヨシハラ(システムズ)の発表内容を見ていきます。
漏えい件数が約5.9万件は、最近(2019~2021年)の国内カード情報インシデントでは、2020年12月のLDH(約4.5万件)を超え、2019年10月のJIMOS(約10.8万件)に次ぐ2位の漏えい件数となります。
2.個人情報流出状況
(1)原因
第三者によって「せんたく便」に不正アクセスされ、クレジット情報が流出したため
(2)個人情報流出の可能性があるお客様
2020年11月16日までの期間中に「せんたく便」において、新規にクレジットカード情報を会員登録いただいたお客様、又は既に会員登録により登録済みのクレジットカード番号を変更されたお客様及び旧システムからの移行データ58813名の以下のクレジットカード情報。
お客様の利用日につきまして開始日は不明(システム改修のため)ですが、該当会員様は特定できており個別にご案内いたします。
【流出した可能性のあるクレジットカード情報】
・クレジットカード名義人 ・クレジットカード番号 ・有効期限
上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。
なお、第三者調査機関によるログファイル等の調査の結果、個人情報が格納されたサーバが不正アクセスを受けたことは明らかになったものの、漏洩の件数は特定できませんでした。
(ヨシハラ公式発表より引用)
気になるのが、「2020年11月16日までの期間中」という表現。始まりを書かないのに、期間が分かる訳がありません。ヨシハラは2009年からサービスを開始しているので、この表現だと10年以上が対象期間となる事も想像できますが、会員が15万人以上である事を考えると矛盾があります。
次に気になったのが、漏えいしたカード情報の内容です。セキュリティコードは無いものの、カード名義人名、カード番号、有効期限が漏えい対象とされています。
魚拓サイトを使って2020年2月7日のデータを確認してみると、会員登録画面では上記の3つの入力が求められていました。
続きを読む