事故から学ぶ

通販代行サービス「ECオーダー.com」に不正アクセス – クレカ情報流出の可能性

事故概要

業種 ECオーダー.com
発生時期 2019/1/19-2019/6/26
漏えい人数 7,467人
事故概要

通信販売業務の代行サービスである「ECオーダー.com」が外部より不正アクセスを受け、クレジットカード情報を窃取された可能性があることがわかった。
同サービスを展開するホビボックスによれば、システムの脆弱性を突かれてファイルが改ざんされ、一部顧客情報が流出したもの。
同サイトではクレジットカード情報を保有していなかったが、注文時に顧客が入力したクレジットカード情報が不正に取得された可能性があるという。
対象となるのは、1月19日から6月26日にかけて同サイトでクレジットカードを決済を利用した顧客のクレジットカード情報最大7467件。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。
6月26日に決済代行会社を通じてクレジットカード会社より指摘があり、問題が判明。同日オンラインショップを停止し、調査を進めていた。
同社では今回の問題を受け、個人情報保護委員会に9月30日に報告。警察には9月11日へ被害を届けた。対象となる顧客に対してもメールで事情を説明するとしている。
今後は脆弱性や管理体制などの不備について修正し、セキュリティの強化を進めるとしており、サイトの再開は、決定次第発表する方針。
同社においては、2011年にもPCゲーム通販サイト「CLUB HOBi」が、不正アクセスを受ける被害が発生。

引用元 ECオーダー.com

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24(第20条)安全管理措置(第22条)委託先の監督 社内規則の整備(自社運用・外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

Webでサービス展開をしている企業の中でも、特に著名なサイトでは日常的に不正アクセス攻撃を受けいる。特に大手であれば、その対策を講じているはずだが、新たな手口が毎日のように開発されいることを考えると、一瞬の対策遅延でも漏洩事件が発生してしまう。

具体例:

サーバの監視システムを有効に生かすためには、2つの策を瞬時に講じる準備を行っているかがカギになる。ひとつは毎日のように新たな不正アクセス手段が生まれている中で、適切な防御策を毎日補完すること、もうひとつは侵入を許してしまった場合や異常を感知した際に瞬時にサイトサービスを停止し、サーバを外部から遮断できるかにかかっている。
巡回と初期消火を絶やさぬことである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。