事故から学ぶ

公益財団法人 日本関税協会が運営する「JTAS Store」で不正アクセスによるクレジットカード情報流出

事故概要

業種 公益財団法人 日本関税協会
発生時期 2019/09/17
漏えい人数 228人
事故概要

公益財団法人 日本関税協会は、「JTAS Store」において、第三者による不正アクセスを受け、顧客のクレジットカード情報(最大228件)が流出した可能性があると発表した。
協会では、事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制並びにリスクマネジメント体制、コンプライアンス体制の更なる強化を行い、二次被害防止を最優先事項と捉え、誠実に対応するとしている。
発表は以下の通り。
1.経緯
2019年5月24日、一部のクレジットカード会社から、弊会サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、同日弊会が運営する「JTAS Store」でのクレジットカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2019年7月10日、調査機関による調査が完了し、2018年12月21日~2019年5月24日の期間に「JTAS Store」で購入されたお客様のクレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
2.情報流出状況
(1)原因
弊会が運営する「JTAS Store」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため
(2)情報流出の可能性があるお客様
2018年12月21日~2019年5月24日の期間中に「JTAS Store」においてクレジットカード決済をされたお客様
(3)流出した可能性のある情報
・クレジットカード番号
・有効期限
・セキュリティコード
・クレジットカード会員名
(4)流出可能性があるカード情報の数
最大228件
弊会はこのたびの事態を厳粛に受け止め、再発防止を図ってまいります。
5.関係先への報告
弊会は今回の不正アクセスにつきまして、以下のとおり報告を行いました。
(1) 監督官庁である内閣府には2019年7月25日に報告済みです。
(2) 警察署には2019年7月18日に被害相談をしております。今後捜査にも全面的に協力してまいります。
(3) 第三者調査機関の調査結果をクレジットカード会社に報告しております。また不正利用の防止のため流出の可能性のあるすべてのカード情報のモニタリング強化を依頼しました。

引用元 日本関税協会

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-1(第20条)安全管理措置 システム管理(ソフト更新)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?

■ 推奨対策

対策:

情報漏洩していた可能性がある期間が長いのか、情報の保有期間が長いのか判然としないが、いずれにしても不正アクセスを即日検知し、即日対策がとられていないことから、監視も対策も甘かったと考えられる。

具体例:

システムを利用し、顧客から個人情報を入力させる仕組みを運用するためには、常に、厳重な不正アクセス対策が必要である。しかし、事業者として重大かつ当然とされることに綻びが生じ、個人情報漏洩に至ってしまうのは、事業者側の管理不足、対策不足、力不足のそしりを免れない、
個人情報漏洩された顧客への影響は、金銭的な被害に留まらない被害を生むことがあるので、事業者として自分ができる最大値の対策、ではなく、同業他社が行っているレベルを参考に対策を講じる必要がある。
同時に従業者のスキルアップにも投資が必要である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。