侵害を受けたECサイトの選択肢の1つだと思いますが、自社のセキュリティを(開発当初に)よく検討してシステム構築をしなかったツケと言う事もできるかも知れません。
www.security-next.com
同サービスは、電子書籍や楽譜、イラスト素材などデジタルコンテンツを取り扱うダウンロード販売サイト。不正アクセスにより、顧客のクレジットカード情報7741件が流出した可能性があるとして、2018年11月12日よりサービスを停止していた。
同社は外部機関による調査のもと、サービス再開に向けてセキュリティ対策の強化などを進めていたが、セキュリティを確保するにはシステムの抜本的な見直しが必要であることが判明。開発に要する期間や事業環境などを検討した結果、サービスの再開を断念したという。
(Security Next記事より引用)
■公式発表 「DLmarket」におけるサービス終了に関するお知らせ
◆キタきつねの所感
カード情報非保持、実行計画2019でも指摘されていますが、非保持を実現したからといって安全であると、EC加盟店側が油断している所を攻撃されたインシデントが増えてきています。
実行計画の改訂ポイントでは、以下の様な注意喚起がなされています。
そんな中、今回のDLmaketの『クレジット決済を止める』という判断は、個社の事情を考えると合理的な選択肢の1つではないかと思います。
クレジット情報が漏洩してしまった場合の流れとしては、(ブランド/カード会社のルールによりますが)
①フォレンジック調査
②セキュリティ対策 ※セキュリティ強化(投資)
③PCI DSS準拠 ※非保持ソリューション選択であったとしても
といった流れになるかと思います。
今回のDLmarketの判断は①の段階で、②③の投資が重過ぎると判断したのだと思います。実行計画では、非保持やSAQなど、ある意味自己宣言的なセキュリティ実施でも法令違反状態ではないと整理されていますが、インシデントが発生すると、元々求めていたセキュリティ体制が維持されている事(PCI DSS等)が確認されないと、クレジットカード決済が復活できないるルールとなっています。
非常にざっくりと(言葉が悪いかも知れませんが)言えば、インシデントが発生するまでは、個社を「信じている」のでセキュリティ体制が本当に出来ているかは個社が大丈夫と言えば通るのですが、いざインシデントが発生すると、個社の言う事は「信じられない」=『セキュリティ対策を怠った方が悪い』として、厳しい対処が求められます。
欧米の自己責任ルール、それがクレジットカード決済に関わるルールと言えるかも知れません。厳しい言い方をすれば、DLmaketは(クレジット決済を開始する際、あるいは割販法対応で)本来やるべき事をやってなかった結果、6月にサービス停止という判断をせざろう得なかったのだと思います。
サイバー攻撃でどのECサイトが襲われるかは運でしか無いという見方もできるのですが、攻撃影響を十分に考慮しないシステムが被害を受けた場合、支払うべき代償は非常に大きくなるリスクがあると言えるかも知れません。
尚、以前もBlogで書いた気がしますが、ECサイトで事故が発生した際に起きる事については、古い事例ですが、以下を見ると(後半のページ)良く分かるかと思います。
■不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ サウンドハウス
更新履歴