2017年11月7日、ゴルフ用品のECサイト(タカゴルフホームページ)のWEBサーバへの第三者による不正アクセスにより、クレジットカード情報を含む個人情報2,339件が漏えいした事を発表しました。この関連情報をまとめてみます。
インシデントタイムライン
| 日時 |
出来事
|
|
2010年9月7日
~2017年8月16日
|
クレジットカード決済で購入情報が流出し、一部顧客のクレジットカード情報が不正利用
|
|
2017年8月16日
|
クレジットカード会社からクレジットカード情報流出の懸念があると指摘を受ける
クレジットカード決済の停止
|
| 2017年8月29日 |
調査(フォレンジック調査)会社に調査を依頼
|
|
2017年9月29日
|
(調査会社より)最終報告書を受領し、情報流出の事実を確認
|
公式発表
原因
事件の状況
- 2010年9月7日~2017年8月16日までにクレジットカード決済を利用した顧客(2,339件)のクレジットカード情報が外部に漏えいした疑い
- 流出した可能性のある個人情報
再発防止策
①個人情報管理に対する意識の徹底
②情報セキュリティ管理体制の強化
③情報セキュリティインフラの整備と強化(クレジットカード情報非保持への切り替え)
組織体制の再整備や役割の再周知、規定マニュアル類の新設・更新、教育研修、監査
◆キタきつねの所感
この事件は、情報セキュリティというものに対して、個社が真剣に取り組んで無い場合にこうしたリスクがあるという典型例な気がします。私の専門でもあります、PCI DSSの視点ですと、「セキュリティコード」が流出情報の中に入っているだけで、Webサイトの構築が根本的に間違っていたと推測します。(※PCI DSSではセキュリティコードの保存を認めてません)
また、2010年から社内にクレジット情報を貯めていた・・・問題ですね。経産省やJCAもこうした実装ミスが増えてきているので実行計画でPCI DSS準拠もしくは非保持に向けて取り組みを進める様に促している訳ですが、何もしてなかったのではないかな・・・と想像します。
最後にひっかかりましたのが、再発防止策です。立派な事が書いてあります。ですが、不正アクセスの脆弱性を技術的対策で直す以外で、再発防止策にかかれている規定整備・教育等々・・ここに書かれるということは、『やってなかった』という事に他ならないのではないでしょうか。
※最終報告書出た後ですので、おそらく発表されないでしょうが、”不正アクセス”なるものが、何の脆弱性を突かれたものなのか・・気になる事件です。
関連ニュース記事
更新履歴
