事故から学ぶ

「全国鍼灸マッサージ協会オンラインストア」に不正アクセス、59名のカード情報が流出の可能性

事故概要

業種 EC
発生時期 2020/6/26
漏えい人数 59
事故概要

株式会社メイプルは11月10日、同社が運営する「全国鍼灸マッサージ協会オンラインストア」に第三者からの不正アクセスがあり、顧客のカード情報流出の可能性が判明したと発表した。
これは6月26日に、一部のクレジットカード会社から「全国鍼灸マッサージ協会オンラインストア」を利用した顧客のカード情報流出懸念について連絡があり、同日中にカード決済を停止し、第三者調査機関による調査を行ったところ、同サイトのシステムの一部の脆弱性を突いたことによる第三者の不正アクセスが原因でカード情報が流出し、一部の顧客のカード情報が不正利用された可能性を8月26日に完了した調査結果で確認したというもの。
流出した可能性があるのは2019年8月28日から2020年6月26日の期間中に「全国鍼灸マッサージ協会オンラインストア」にてカード決済を利用した顧客59名のカード情報(名義、番号、有効期限、セキュリティコード)。
同社では対象の顧客に対し、別途メールと書状にて個別に連絡を行う。
同社では既に、カード会社と連携し流出した可能性のあるカードによる取引のモニタリングを継続して実施し不正利用の防止に努めているが、顧客に対してもカードの利用明細に身に覚えのない請求項目がないか確認するよう注意を呼びかけている。
同社では9月10日に所轄警察である淀川警察署に被害申告を、10月5日に監督官庁である個人情報保護委員会に報告を行っている。
同社では今後、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い再発防止に努めるとのこと。

引用元 ScanNetSecurity

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

同社の発表では、いつから不正アクセスが始まったのか不明だが2020年5月まで同社では気づかず、クレジットカード会社からの指摘で初めて不正アクセスを認識したという。安全管理と監視が甘かったと指摘されるであろう。
同サイトのシステムの一部の脆弱性を突いたことによる第三者の不正アクセスが原因で顧客のカード情報が流出し、一部顧客のカードが不正利用された可能性があるというのでかなり深刻である。

具体例:

クレジットカード情報だけではなく、個人情報の流出が発生した際、その悪用による被害を軽減するうえでは、なるべく早く正確な情報を被害者に伝え、対策を提供することが望ましい。
不確定な情報を顧客に伝えることは必ずしも効果的とは言えないが、なるべく速やかに、確定した情報からでも伝達できるよう、情報漏洩時のシミュレーションやフローの定義が必要だ。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。