またクレジットカード情報漏えい事件がSecurity nextで報じられていました。
www.security-next.com
■公式発表
弊社が運営する「Webショッピングサイト」への不正アクセスによる
個人情報流出に関するお詫びとお知らせ
事件の状況
- 2018年6月6日にクレジットカード会社からカード情報流出懸念の連絡を受ける
- 2017年1月14日~2018年5月25日の間にWebショッピングサイトでクレジットカード購入をした最大77,198名の情報が流出した可能性がある
- 流出した可能性があるのは、カード会員名、クレジットカード番号、有効期限
事件の原因
◆キタきつねの所感
7.7万件のカード情報漏えいは、最近のECサイトの漏えい事件としては件数が多い方かも知れません。セキュリティコードは漏えいしてない事と、改正割賦販売法の6/1施行前である事を考えると、カード情報非保持の対応中であった可能性も考えられそうです。
この推測が正しければ、恐らく内部DBにカード情報を保有していたのだと思います。(実行計画上は3月末以降、改正割賦販売法上は6/1以降だとカード情報を内部に保有する場合はPCI DSS準拠が必要)
見方を変えれば、ギリギリまで対応を引っ張った(もっと時間はあったはずなのですが・・・)が故に狙われたのかも知れません。
クレジットカード情報が漏えいした場合、再発行に関しては、漏えいした加盟店側の責任になる事が多いのですが、仮にその対応費用(カード代、郵送費、お詫び印刷物等)が仮に1件当たり1,000円だとして、7.7万件だと、7,700万円の費用となります。更にフォレンジック調査会社の調査費用、セキュリティ追加対策費用などを考えると・・・セキュリティは経営リスクである、は正しいと言えそうです。
更新履歴