事故から学ぶ

TOP > 事故から学ぶ > 不正アクセス > 傘販売「Tokyo noble* online shopping」へ不正アクセス、1年分の決済情報が流出

2020/11/13

傘販売「Tokyo noble* online shopping」へ不正アクセス、1年分の決済情報が流出

事故概要

業種	EC
発生時期	2020/7/3
漏えい人数	549
事故概要	傘の販売を行う株式会社イー・ビー・アイは11月5日、同社が運営する「Tokyo noble* online shopping」にて第三者からの不正アクセスがあり、顧客のカード情報が流出した可能性が判明したと発表した。これは7月3日に、一部のクレジットカード会社から同社に対し「Tokyo noble* online shopping」を利用した顧客のカード情報の流出懸念について連絡があり同日中にカード決済を停止し、第三者調査期間による調査を行ったところ、同サイトのシステムの一部の脆弱性を突いたことによる第三者の不正アクセスが原因で顧客のカード情報が流出し、一部顧客のカードが不正利用された可能性を8月31日に確認したというもの。流出した可能性があるのは、2019年6月25日から2020年6月17日の期間中に「Tokyo noble* online shopping」でクレジットカード決済を利用した顧客549名のカード情報（名義、番号、有効期限、セキュリティコード）。同社では対象の顧客に対し、別途メールまたは書状にて個別に連絡を行う。同社では既に、カード会社と連携し流出した可能性のあるカードによる取引のモニタリングを継続して実施し不正利用の防止に努めているが、顧客に対してもカードの利用明細に身に覚えのない請求項目がないか確認するよう注意を呼びかけている。同社では10月6日に所轄警察である本所警察署に被害相談を、10月12日に監督官庁である個人情報保護委員会に報告を行っている。同社では今後、調査結果を踏まえてシステムのセキュリティ体制と監視体制の強化を行い再発防止に努めるとのこと。
引用元	ScanNetSecurity

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1（第20条）安全管理措置　システム管理（不正アクセス防止）

チェックリストにある要求ルール：

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか？
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか？
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか？
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか？
パソコンにウイルス対策ソフトを入れていますか？さらにウイルス定義ファイル（コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる）を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか？
ログインIDにメールアドレス以外のIDを用意していますか？
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか？
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか？
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか？

■ 推奨対策

対策：

同社の発表によると、対象となる利用者は2019年6月から2020年6月の特定期間の利用者で、2020年7月に事実が判明、調査が完了したため発表したという。
同サイトのシステムの一部の脆弱性を突いたことによる第三者の不正アクセスが原因で顧客のカード情報が流出し、一部顧客のカードが不正利用された可能性があるというのでかなり深刻である。

具体例：

クレジットカード情報だけではなく、個人情報の流出が発生した際、その悪用による被害を軽減するうえでは、なるべく早く正確な情報を被害者に伝え、対策を提供することが望ましい。
不確定な情報を顧客に伝えることは必ずしも効果的とは言えないが、なるべく速やかに、確定した情報からでも伝達できるよう、情報漏洩時のシミュレーションやフローの定義が必要だ。