事故から学ぶ

『Magic: The Gathering』専門店「カードショップセラ」から個人情報流出

事故概要

業種 カードショップ
発生時期 2019/11/22
漏えい人数 4,982人
事故概要

トレーディングカードゲーム『Magic: The Gathering』(マジック:ザ・ギャザリング)を扱う老舗カードショップ・Cardshop Serra(カードショップ セラ)が、「個人情報流出に関するお詫びとお知らせ」というタイトルでWebサイトの新着情報を更新した。
第三者からの不正アクセスにより、ショップ利用者のクレジットカード情報4982件が流出した可能性があるとしている。流出した可能性があるのは、2017年9月17日〜2018年11月8日の間にカードショップ セラにおいてクレジットカード決済を行った個人の情報。
また流出した可能性のある情報はカード名義人名、クレジットカード番号、カード有効期限、セキュリティコードの4点。Webサイトの更新直後から問い合わせが殺到している模様。そのため11月21日〜24日(日)までは電話及びメールへの対応に注力し、実店舗での販売・買取を中止。あわせて同日の大会についてもすべて中止になるという。
なお、オンラインでの通販、買取、発送は通常通り行っている。カードショップ セラは、静岡県沼津市に実店舗を置くカードショップ。
2003年に『マジック:ザ・ギャザリング』専門のオンラインショップとしてスタートし、2013年に法人を設立。同時に実店舗をオープンし、カードの販売・買取のほか、大会などのイベントを積極的に開催している。
カードショップ セラは本件に対し、「新着情報は当店ホームページにて順次公開いたします。」としている。
Twitterでは、必ずしも本件に因るものかは不明だが、カード情報が流出した可能性のあるユーザーによって不正利用の被害にあったという報告も散見されている。歴史あるカードショップであるだけに、その影響は大きく、様々な疑義が生じている。

引用元 KAI-YOU

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-1 (第20条)安全管理措置

チェックリストにある要求ルール:

パソコン設定 Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSやソフトウェアを安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れてウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?
サーバーにはより強固な不正アクセス防止策を講じていますか?

■ 推奨対策

対策:

自社サーバかレンタルサーバ、クラウドサービスなのかが不明であるが、Webを見る限り、第三者からの通報等により不正アクセスを認識した印象である。脆弱性の存在も無論重要であるが、監視体制の不備へのリカバリーが最優先である。

具体例:

レンタルサーバ(サーバ共有サービス)の提供者は多数あるが、サービス形態も多岐にわたり、その事業者のホームページから、実際に情報漏えいに有効な安全管理措置を講じている事業者であるのかの見極めは難しい。高ければ安全というわけではないが、安全管理体制が維持できないような、あまりに格安である事業者を利用するのは、個人情報を取り扱うホームページの掲載は控えるべきであろう。利用前に前述の対策に記載されたような対応が取れる事業者であるのかコールセンタなどに問い合わせをすることで、ある程度の判断は付くと思われる。
今回の事例では、これだけ監視体制を取っていてもアカウントの乗っ取りと不正ファイルの送り込みをされてしまうほど、外部アタックの攻撃力が高いことを認識し、不用意に個人情報をため込まないことも漏えい防止策の基本動作としてとらえておくべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。