昨年9月にランサムウェア被害を受けた日本盛が詳細調査の結果、カード情報を漏えいした可能性があると発表していました。
www2.uccard.co.jp
公式発表
・弊社サーバーへの不正アクセスによる クレジットカード情報等漏洩に関するお詫びとお知らせ(3/30)魚拓
キタきつねの所感
漏洩件数は23件と非常に少ないのですが、無かったはずのカード情報が実は保存されていた・・と言う残念なケースだった様です。
昨年9月に発生した不正アクセスについては多くのメディアが取り上げていましたので覚えている方も多いかと思います。
www3.nhk.or.jp
兵庫県西宮市の大手日本酒メーカー「日本盛」で18日午前、社内の複数のサーバーに障害が起き、その後の調査で、外部から不正アクセスがあったことが確認されたということです。
この影響で、会社が運営するオンラインショップや、卸売業者との受注や発注のシステムがダウンするなどの障害が出ていて、現在はネットワークを遮断して、電話やFAXで商品の注文を受け付けているということです。
NHKの記事をよく読むと”オンラインショップ”も障害が発生したと書かれており、この事を受けて(オンラインショップからカード情報が漏洩してないかどうか)調査調査で確認していたものと思われます。
その結果、オンラインショップそのものではなく、コールセンター業務(電話受付)において社内ルールに反して「注文書」や「メモ」の画像データにカード情報(23件)が書かれていたという事の様です。
ランサムグループによって暗号化されたデータを調査している中で「運用ミス」が発覚してしまったと言った方が良いかも知れません。
(社内ルール違反だったかどうかはさておき)PCI DSSの視点で考えると、画像データ上のカード情報も”保護対象”なので、カード漏えいインシデントと捉えるのが正しいかと思います。
しかし、割販法の視点で考えると”微妙”です。自分の記憶が正しければ、画像データ上のカード情報が電子的に読み取り不能(コピー不可)であれば非保持という整理だった気がします。
カード情報非保持サイトであっても、カード情報漏えい(の恐れがある)インシデントが発生するとカードブランド側(PCI DSS視点)でのフォレンジック調査が必要となる事もあり、今回の発表につながった気がします。
コールセンター業務でメモを取るといった行為は”普通”だと思うだけに、厳密にカード情報が書かれていないかどうかをチェックするのは実運用では難しかったのではないかと思いますが、仮に日本盛側が、証跡としてこうしたデータを残しておく事が必要であったのであれば、自社で『暗号化』しておけば問題は無かった気がします。
余談です。日本盛はVPN装置の脆弱性を突かれて不正アクセス被害を受けています。カード情報漏えい事件でよくある”パッチ管理不備”だったと推測されますが、パッチ管理の運用が(ある程度)出来ていれば、業務に影響が出る障害やカード情報漏えいまでは発展しなかったと思われます。
こうした隙(EC運営者の油断)を攻撃者は狙っている事を、他組織も改めて認識すべきかと思います。。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
