事故から学ぶ

「アイテックストア」への不正アクセスによる 情報流出の可能性について

事故概要

業種 EC
発生時期 2020/8/18
漏えい人数 未発表
事故概要

2020年8月19日
この度、弊社が運営するオンラインECサイト「アイテックストア」が、海外のIPアドレスからの不正アクセスにより、お客様情報が流出した可能性があることが判明いたしました。お客様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたことを深くお詫び申し上げます。
1.経緯
2020年8月18日(火)「アイテックストア」において、2020年8月14日(金)に海外のIPアドレスより複数回の不正アクセスを受けていたことを確認しました。また、同日中に同様の不正アクセスを遮断する措置を講じました。
2.流出した可能性のあるお客様情報
・対象のお客様情報
2016年6月13日から2020年8月14日までの期間に「アイテックストア」でご購入をされたお客様のご購入情報
・対象のご購入情報
アイテックID、氏名、氏名(カナ)、郵便番号、住所、メールアドレス、電話番号、ご購入商品、ご購入金額、お支払方法
一部のお客様については、生年月日、性別、FAX番号、携帯電話番号、お勤め先の情報が含まれている場合があります。
尚、パスワードやクレジットカード情報の流出の可能性はありません。
3.本件の対応に関して
・外部からのアクセス制限措置(不正アクセスの遮断)を講じました。
・対象のお客様には個別にメールでご連絡をいたします。
・被害の発生・拡大防止のため、警察当局への相談をしております。
4.お客様へのお願い
この度の不正アクセスの対象情報には、お客様のアイテックID、メールアドレスが含まれております。万が一、お客様のメールアドレス宛に、アイテックを装った不審なメールが届いた場合には、開封せずにすみやかに削除くださいますようお願いいたします。ご不明な点等がございましたら、弊社窓口までご連絡ください。
現時点では、お客様のご購入情報の不正利用は確認されておりません。
今後、新たな事実が判明した場合には、必要に応じて速やかにお知らせいたします。

引用元 アイテックストア

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

ECサイトはクレジットカード情報があるため、常にハッキング対象になる。自分たちがターゲットであるという認識の下で防衛手段を講じ、日々高度化する不正アクセスに対処する体制を動かし続ける必要がある。

具体例:

ECサイトの運営時は、365日24時間積極的な監視が必要である。何が起きたらどのように対応するかも決めておき、どこの承認を得ることなく監視チームがサイトを遮断する権限を持って対応しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。