Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

廃業する前に情報漏えいを公開すべきだったのではないか?

ネットショップ担当者フォーラムに閉店したECサイトの情報漏えいに関する記事が載っていました。

netshop.impress.co.jp

輸入工具、自動車工具の専門店ワールドインポートツールズ / WORLD IMPORT TOOLS

f:id:foxcafelate:20180601184158j:plain

 

事件の状況 
  • 2017年4月20日から7月26日までサイトでカード決済をした最大1,003件のカード情報が不正アクセスにより漏えいした疑い
  • 当該ECサイト(ワールドインポートツールズ)は、2017年12月28日に閉鎖し、実店舗も2018年1月31日に営業終了し廃業している
  • ECサイトを運営していたナカミツは廃業しているため、代表清算人が閉鎖したECサイト上で事件を公表した。

f:id:foxcafelate:20180601184203j:plain

 

日時 出来事
2017/4/20~2017/7/26 ワールドインポートツールズでクレジットカード決済をしたカード情報最大1,003件が漏えいした可能性
2017/7/26 カード会社から決済代行会社を通じて情報漏えいの懸念があると連絡を受け、カード決済を停止。
  PCF社に調査を依頼
2017/9/12 PCF社から調査報告書を受領。不正アクセスの直接的な証跡は発見できなかったもののカード情報が抜き取られた可能性は否定できない事が判明。
2017/12/28 ワールドインポートツールズが閉店
2018/1/31 実店舗が営業終了(廃業)
2018/5/21 代表清算人が事件を公表

 

◆キタきつねの所感

この事件情報を見た際に、いくつかの点で違和感を感じました。一つが諸々の事情はあるのかと思いますが、9月12日時点で運営者はカード情報が漏えいした可能性を把握していながら、12月末にECサイトを閉鎖している点です。代表清算人が事件を5月に発表していますが、事件を発表せずにサイトを閉鎖したのは責任を逃れる、あるいは事件を隠蔽する意図があったと言われても仕方ないのではないでしょうか。

決済代行会社(SMBCファイナンスサービス)や契約していたアクワイヤラーがあるならば、事故をクローズせずに廃業させてしまっている点で、加盟店管理が出来てなかったと言えそうです。

当該のECサイトに関しては、漏えいしたデータが約3ヶ月分という事から、恐らく自社システム側でカード情報を保存していたのではないかと推測します。実行計画の対応期限(2018年3月末)前の、2017年7月に不正アクセスを受けている可能性が高いのだと思いますので、カード情報非保持にシステム改修する前に攻撃を受けてしまったのではないでしょうか。

他には、決済代行会社のシステム側に不備があった可能性も考えられますが、SMBCファイナンスサービスのサイトを確認する限り、そうしたリリースも出てませんし、PCI DSSを維持している様ですので、ECサイト(加盟店側)のセキュリティ不備であった可能性の方が高そうです。

 

 

非常停止ボタンのイラスト(ホーム)

更新履歴

  • 2018年6月1日PM(予約投稿)