事故から学ぶ

ショップチャンネル通販サイトにリスト型攻撃、不正ログインが264件

事故概要

業種 EC
発生時期 2020/7/15
漏えい人数 22
事故概要

ジュピターショップチャンネル(株)はこのほど、自社が運営する通販サイトで、外部で不正に取得されたと思われる情報を使った不正ログインが発生し、顧客情報が第三者に閲覧された可能性があることを確認したと公表した。
不正ログインは海外から
同社によると、7月15日、同社が定常的に行っているモニタリングで、海外から不正なログインが試行されていることを探知したため、直ちに海外からのアクセスを遮断し、これ以上の不正なログインを防ぐとともに、調査を開始した。
その結果、不正ログインに使われた顧客の個人情報が同社内から流出した証跡はなく、不正ログインは第三者が外部で不正に取得した情報を利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われたものと推測される。
不正ログインが確認された件数は264件に上り、第三者に個人情報が閲覧された可能性のある件数は22件。顧客の個人情報は氏名のほか、郵便番号、住所、電話番号、メールアドレス、生年月日、クレジットカード情報(カード番号の下4 桁・有効期限)、本人以外への届け先として登録されている情報(氏名・郵便番号・住所)。
セキュリティーコードは閲覧されず
カード番号の下4桁以外とセキュリティコードはマスキングされているため、閲覧された可能性はないという。また、現在までに情報の不正利用などの二次被害に関する報告はない。
発覚後、同社は不正にログインされた顧客のパスワードを初期化し、対象者にはメールと電話で個別に連絡。他社サービスとは異なるパスワードを推奨した上で、パスワードの再設定を依頼している。さらに、不正ログインの試行を行った通信元からのアクセスを遮断するとともに、その他のアクセスについても監視強化を行っている。
同社は、顧客の個人情報保護は最優先事項と認識し、事態を厳粛に受け止め、再発防止に向けて不正ログインの監視強化やセキュリティレベルの向上に努めていくとしている。

引用元 通販通信

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?

■ 推奨対策

対策:

大量の個人情報を扱う企業は、ありとあらゆるネットリスクにさらされる。当社は素早くサイトを遮断したと発表したが、264件は情報が閲覧されたという。
今日講じた対策でも、明日には破られる可能性がある中での対応なので引き続き細心の配慮と素早い対応を講じる体制維持をお願いしたい。

具体例:

保有データの一部はマスキング保存しておき、利用時に一件毎に手順手続きを経てマスキングを解除、さらに解除毎に関しサーバにワーニングを飛ばし、連続解除が発生した場合はサイトを遮断する、などの対策まで踏み込むのも一考である。
対策方法も日々更新されているので、最新化しておくことが望ましい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。