事故から学ぶ

書籍オンラインストアから、クレジットカード情報または個人情報が外部からの不正アクセスにより漏えい

事故概要

業種 ネット通販
発生時期 カード情報 2018/7/30~2018/8/24 個人情報  2014/10/1(ストアオープン時)~2018/8/24
漏えい人数 会員  98,852名 非会員 82,848名 (購入せず問い合わせのみの、またはその後電話注文した方を含む)
事故概要

書籍オンラインストアから、クレジットカード情報または個人情報が外部からの不正アクセスにより漏えい

SOKAオンラインストアの運営委託を受けているトランスコスモス株式会社が契約しているサーバーに対して、7 月 30 日に不正ファイルを混入され、プログラムが改ざんされたことにより、顧客が商品を購入する際に、使用したカード情報を不正に取得された可能性があることが発覚した。さらに顧客の個人情報(カード情報以外の個人情報)も不正に取得された可能性のあることが判明した。

引用元 トランスコスモス株式会社「SOKAオンラインストア」におけるクレジットカード情報ならびに個人情報の不正取得に関するお詫び、調査結果について。

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
1-1 パソコン設定

チェックリストにある要求ルール:

Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSやソフトウェアを安全な状態にしていますか?

 

チェックリストコード:
1-2 パソコン設定

チェックリストにある要求ルール:

パソコンにはウイルス対策ソフトを入れてウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?

 

チェックリストコード:
3-23 意識付け教育

チェックリストにある要求ルール:

クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなどのように、サービスの安全・信頼性を把握して選定していますか?

 

■ 推奨対策

対策:

作業ルールが徹底されるように業務規程の見直す。
監視体制を強化する。

具体例:

サーバーに対して「不正ファイルを混入されプログラムが改ざんされた」ことが判明しており、外部からの攻撃に対する脆弱性があったことが伺える。ネットを通した悪意ある攻撃手段は急速に進化変化しており、昨日まで安全であったものが今日には脆弱化していることを管理者は認識しておく必要がある。
今回の件で特に問題視する点は、クライアントからの指摘があるまで漏えいに気づかない監視体制である。適切な監視ツールを入れ脆弱性を抑え込む更新を適切に行っていれば、不正アクセスがあった時点で異常感知ができていた可能性がある。また通販サイトにかぶせるように偽りのホームページを作りこみ、ここからクレジットカード情報を盗み取ったことが報告されているが、この手口は良く知られていることもあり、ネット通販会社は日に数回、自分の通販サイトにユーザとしてログインして動向監視することも不可欠とされている。これらを怠っていることから監視体制の強化をすべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。