2017年11月13日、せっけんのECサイトの通信販売サイトに不正アクセスにより、クレジットカード情報392件が漏えいした事を発表しました。この関連情報をまとめてみます。
インシデントタイムライン
日時 |
出来事
|
2017年6月6日
~2017年8月31日
|
クレジットカード決済で購入情報が流出し、一部顧客のクレジットカード情報が不正利用
|
2017年8月31日
|
クレジットカードの決済代行会社よりクレジットカード情報流出の懸念があると指摘を受ける
クレジットカード決済の停止
フォレンジック調査会社(Payment Card Forensics社)に調査を依頼 |
2017年10月19日
|
調査会社より、最終報告書を受領し、不正アクセスによりクレジットカード情報等の流出を確認
|
公式発表
原因
- Webサーバに外部から不正アクセスを受け、アプリケーションファイルが改ざんされクレジットカード会員データが不正に取得
事件の状況
- 2017年6月6日~2017年8月31日までにクレジットカード決済を利用した顧客(最大392件)のクレジットカード情報が外部に漏えいした疑い
- 流出した可能性のある個人情報
再発防止策
①通販サイトのセキュリティ強化
②通販サイトの管理・運営方法についてもセキュリティ・安全性確保の観点から随時見直し
◆キタきつねの所感
ECサイト(EC加盟店)に経産省やJCAの指導している実行計画が浸透していない事が現れている事件かもしれません。やはりセキュリティコードが漏れていることから、PCI DSS視点では、プログラム等々の実装違反が疑われます。(ECサイト側には決済終了後にセキュリティコードは残してはいけない)セキュリティ専門会社の助言の元で、おそらく自社側システムの改修ではなく、PCI DSS準拠の決済代行業者にに決済を代行してもらう形に変更していくのでしょうが、再発防止策を裏読みすると、「通販サイトとしてセキュリティ・安全性対策確保は考えてなかった」事が大きな原因となっているかと思います。
8月はタカゴルフも情報漏えい事件を起こしていましたので、他のECサイトも自社でカード情報を抱えている所は、来年3月のガイドライン期限を待たずに、対策を進めていかないと事件が発生するリスクがある事を認識すべきなのだと思います。
関連ニュース記事
更新履歴