事故から学ぶ

「肉の御嵩屋オンライン SHOP」への不正アクセスによるカード情報流出

事故概要

業種 ECSHOP
発生時期 2019/11 / 9 ~2020/1/22
漏えい人数 530
事故概要

「肉の御嵩屋オンライン SHOP」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(530 件)が流出した可能性があることが判明いたしました。
情報が流出した可能性のあるお客様には、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じるとともに、二次被害防止を最優先事項と捉え、誠実に対応させていただきます。
1.経緯
2020 年 1 月 22 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、同日弊社が運営する「肉の御嵩屋オンライン SHOP」でのカード決済を停止いたしました。同時に、第三者調査機関による調査も開始いたしました。2020 年 3 月 9 日、調査機関による調査が完了し、2019 年 11 月 9 日~2020 年 1 月 22 日の期間に「肉の御嵩屋オンライン SHOP」で購入されたお客様のクレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
2.情報流出状況
(1)原因
弊社が運営する「肉の御嵩屋オンライン SHOP」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス
(2)情報流出の可能性があるお客様
2019 年 11 月 9 日~2020 年 1 月 22 日の期間中に「肉の御嵩屋オンライン SHOP」においてクレジットカード決済をされたお客様
(3)流出した可能性のある情報
・クレジットカード番号
・有効期限
・カード名義
・セキュリティコード
(これら4つの情報を以下「カード情報」といいます)
(4)流出可能性があるカード情報の数
530 件
3.お客様へのお願い
(1)お客様におかれましては、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社で負担することをクレジットカード会社に依頼しております。
(2)お客様にお心当たりのない不審な連絡等ございましたら、弊社までご連絡をお願いいたします。警察機関・関係官庁と連携し、誠実に対応を進めてまいります。
4.再発防止策について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制並びにリスクマネジメント体制、コンプライアンス体制の強化を行い、再発防止を図ってまいります。改修後の「新・肉の御嵩屋オンライン SHOP」の再開日につきましては、決定次第、改めて Web サイト上にてお知らせいたします。
5.関係先への報告
弊社は今回の不正アクセスにつきまして、以下のとおり報告を行いました。
(1)個人情報保護委員会には 2020 年 4 月 23 日に報告済みです。
(2)所轄警察署には 2020 年 4 月 22 日に相談をしております。今後捜査にも全面的に協力してまいります。
(3)第三者調査機関の調査結果をクレジットカード会社に報告しております。また弊社よりクレジットカード会社へ不正利用の防止のため、流出の可能性のあるすべてのカード情報のモニタリング強化を依頼しました。第三者機関による最終報告書受領より本日の発表までお時間がかかりましたこと、深くお詫び申し上げます。本日までお時間がかかりました理由は、調査結果の精査および関係会社との調整に時間を要したためでございます。

引用元 株式会社肉の御嵩屋

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?

■ 推奨対策

対策:

サーバには不正なプログラムが配置され、申込情報を窃取していたという。サーバの基本的なセキュリティ対策を今一度確認することはもちろん、外部のSaaSを活用してセキュリティリスクを移転するなど、組織に合わせたセキュリティ対策とその運用を行わなければならない。

具体例:

セキュリティーシステムは「自社も必ず攻撃を受ける」という意識で毎日ニュースをチェックし、その対策を考えるべきである。インターネットを利用したサービス提供事業者ならば、社内にもセキュリティーのエキスパートを育成し、セキュリティー専門会社との組み合わせでサービス全体の安全管理措置を講じていく必要がある。業者任せにしてはいけない。分からないまま済ませてはいけない。ユーザ数の多いサイトは最新ハッキング手法を試す実験場になっており、対策が後手に回るリスクを抱えている。常に最新対策情報を自ら得る体制を整えておくべきであろう。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。