事故から学ぶ

不正アクセス受けカード情報最大2,507件流出か|有限会社ジャングル

事故概要

業種 有限会社ジャングル
発生時期 2019/05/28
漏えい人数 2,507人
事故概要

有限会社ジャングルは2019年5月28日、同社が個人情報を保存していたサーバーが何者かのサイバー攻撃を受け、同社通販事業を利用した顧客のクレジットカード情報最大2,507件に流出の可能性が生じたと発表した。
攻撃を受けたサーバーは、ジャングル社システム受託会社のもの。同社はインシデント発覚後、サイト公開の停止を決定。合わせて影響を受けた顧客らに向けて、謝罪を表明している。
インシデントは2018年11月6日、ジャングル社が契約しているカード会社より、「通販サイトからカード情報が流出している可能性がある」と通知を受け、明らかになった。
同社はその後、サイトの公開を停止を決定し、第三者機関にフォレンジック調査を依頼。ところがサーバーを管理していたシステム会社は、情報流出の可能性について通知を受けた後、カード情報を全て削除。これにより第三者調査会社は、漏洩したカード情報の特定ができなかったと説明している。そこで同社はその後、契約している各カード会社に連絡を進め、不正利用などの調査を依頼。被害規模を把握したうえで、インシデントを公表したと説明している。
ジャングル社によると、不正アクセスの影響は下記の通り。
流出件数などについては、フォレンジック調査では流出したカードの情報や流出した期間が明らかにされず、カード会社側のデータや不正利用の発生状況から決定されたもの。
オンラインショップでカード決済したユーザー 2017年5.月2日~2018年11月6日 最大2,507件 カード番号・カード有効期限・セキュリティコード・カード名義人

引用元 有限会社ジャングル

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24 (第22条)委託先の監督 “社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

システム管理の事業者が不明だが、自社にせよ外部委託にせよ、長期間気づかなかったのは怠慢である。

具体例:

これはアクセスログを毎日確認すれば見つけられた可能性が高い。あの手この手を使って情報を盗み出す犯罪者から個人情報を守るのは、事業者の責務である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。