家具・雑貨販売のSEMPR.JPを運営するセンプレデザイン社が第三者からの不正アクセスを受け、クレジットカード情報を含む個人情報漏えいを12月22日に発表した件について、まとめてみます。
インシデントタイムライン
日時 |
出来事 |
2017年10月29日~30日 |
不正アクセスによりカード情報流出 |
2017年11月14日 |
クレジットカード会社からカード情報流出懸念の連絡を受ける クレジットカード決済停止 PCF社に連絡 |
~2017年11月18日 |
社内調査により不正アクセスの形跡を発見 会員情報のアクセスを停止 |
|
ラック社のアプリ診断とプラットフォーム診断を実施 |
2017年11月20日 |
警察庁目黒署へ報告 |
2017年11月21日~ |
PCF社の調査 |
2017年11月29日 |
個人情報保護委員会に初回の報告 |
2017年12月9日 |
PCF社から調査結果報告を受領 |
2017年12月22日 |
事件を公表 |
公式発表
事件の状況
- 2017年10月29日~2017年10月30日に不正アクセスを受け、2002年9月~2017年10月30日までにクレジットカード決済を利用した会員22,796件の個人情報(クレジットカード情報13,438件含む)が外部に漏えいした疑い
- 流出した可能性のある個人情報
- 氏名(カード名義人)
- メールアドレス
- ログインパスワード
- クレジットカード番号
原因
再発防止策
- PCI DSS準拠の決済代行会社に業務委託し、カード情報を補修しない非通過型の決済システムへ変更
- WAF(Webアプリケーションファイアーウォール)の導入
- 個人情報を扱うデータベースを隔離し、適切な暗号化を行う
- 個人情報取り扱いプロセスを見直し、(社員対する)意識の徹底
◆キタきつねの所感
流出が2002年~2017年となっていますので、自社のサーバにクレジットカード情報を残していた(あるいは気づいてなかった)事になります。2万件を超える情報が漏洩した要因は、自社で保有していたデータが長期間に渡っていたことにあるのかと思われます。
最近のクレジットカード情報漏えい事件では、そのほとんどが本来自社サーバに残してはいけないセキュリティコードも漏えいしているのですが、こちらは漏えいしてませんので、不正利用される(された)可能性はあまりないと思われます。
再発防止策については3つの対策が書かれており、この内容から分かることは、
①非通過型へ変更する=自社にクレジットカード情報を保存していた(通過型だった)
②個人情報を扱うデータベースを隔離する=隔離されてなかった
③データベースは適切な暗号化を行う=暗号化されてなかった
状態であったことが想像されます。ログに気づいてなかったカード情報が記録されていた、というよりはWebアプリの脆弱性を突かれ内部に侵入され、隣接するDBサーバに不正アクセスをされた際に、カード決済情報(購入記録)ログのテーブルが暗号化されてなかったので、カード情報漏洩につながった。そんなところでしょうか?
この報告は、情報量も多く、他社にも参考(教訓)になるのではありますが、やはり何の脆弱性を突かれたのか、発表したくないのかも知れませんが、書かれてないのは残念です。
1月11日に日経の記事が上がっていたので、新しい情報でも出たのかと思ったのですが・・・特に目新しい追加情報はないようです。。(何で半月以上経ってから記事にしたのか・・・)
www.bci.co.jp
更新履歴
- 2017年12月23日 AM (予約投稿)
- 2018年1月13日AM 日経WEBの記事内容を追記