事故から学ぶ

弊社が運営する「GEKIROCK CLOTHING」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 激ロックエンタテインメント株式会社

事故概要

業種 激ロックエンタテインメント株式会社
発生時期 2019/8/23-9/3
漏えい人数 1,269人
事故概要

激ロックエンタテインメント株式会社が、9月3日、群馬県警察本部サイバー犯罪対策課より、海外のサイト上に弊社が運営する「GEKIROCK CLOTHING」の名前を騙ったカード情報の不正取得ページが存在する旨の連絡があり、緊急でサービスの停止を行ったと発表した。詳細は以下の通り。
連絡を受けた不正ページは現在は消失しておりますが、調査を進めた結果、本サービスの一部が改ざんされ、お客様が不正ページに誘導され、不正ページ上にてお客様自身にクレジットカード情報を入力させる手口により、お客様のクレジットカード情報が漏洩したことが判明いたしました。
1.本件の概要
(1)対象となる可能性のあるお客様
①2019年8月23日11:55より同9月3日10:47の間に本サービスを利用し
②クレジットカード情報を入力する不正ページへと誘導され
③クレジットカード情報を入力されたお客様
※最大 1,269件となります。
※①~③を満たすお客様がクレジットカード情報が漏洩した可能性のある対象となります。
※不正ページが表示されず、本来のクレジットカード入力ページにカード情報を入力された方は対象外となります。
(2)流出した情報
・クレジットカード番号

・名義
・セキュリティコード(3もしくは4桁の確認番号)
・有効期限
可能性のある全ての方へは既にメールにてご連絡をいたしております。
2.情報流出の原因
海外からの不正アクセスにより、サイトの管理機能の一部を利用して決済フローに改ざんが加えられたことが判明しております。
3.再発防止策ならびに本サービスの再開について
(1)本サービスにかかるシステムのセキュリティ強化等被害拡大の防止のために本サービスの提供を停止するとともに、再発防止策を講じるため、内部調査に加えて専門・中立的な外部の調査会社に依頼して調査を進め、必要なセキュリティ対策を講じてまいります。

引用元 激ロックエンタテインメント株式会社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-3(第20条)安全管理措置 パソコン設定(インターネット利用)

チェックリストにある要求ルール:

利用中のウェブサービス・インターネットサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有して、社内での対策を確実に実施していますか?
自分が理解できないセキュリティー設定に関しては、勝手な解釈で行わず、専門家や専任者の意見を踏まえた防御策を構築と監視をしていますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?
システムに対する脅威や攻撃への防止策と監視体制を構築し、対抗策を構築していますか?

■ 推奨対策

対策:

今回必要だったのは、専門性の高い高度なセキュリティ対策導入である。不正アクセスの手口は初歩的、古典的なものから派生形や新種の手口に至る膨大なパターンがある。特に新種に対しては、セキュリティソフトもモグラたたきのように後追いになるため、異常をいち早く発見する日常監視強化が不可欠になる。

具体例:

大規模サイト、人気サイトは、不正アクセスの主要ターゲットである。不正アクセスの理由も手口も様々で、サイト運営者の対策費用はバカにならない。
サイト運用者で構成される情報交換サークルなどに積極的に参加し、最新かつ高次元のセキュリティ対策情報を仕入れ、数多い防衛策から自社にとって正しい再作が選択できる知見を持つことが必要だと考えられる。大規模サイト、人気サイトの保守は専門性の高い領域なので、人の確保が主要な策の一つになる。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。