カード情報漏えいの概要
「FA機器.com」という産業機器通販サイトを運営している株式会社エフ・アイ・ティが、2023年7月10日に不正アクセスを受け、過去にカード決済を行った5,877人のユーザーのカード情報および最大26,394人のユーザーの個人情報が流出した可能性があることを発表しました。
株式会社エフ・アイ・ティより引用:弊社が運営する「FA機器.com」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
カード情報漏えいの詳細
2022年12月28日、クレジットカード会社から「FA機器.com」を使ったユーザーのカード情報が外部に流出する危険性についての連絡を受けたエフ・アイ・ティ社は、サードパーティの調査機関に調査を依頼しました。特定された可能性のある情報は、2021年3月31日から2022年12月6日までの間に「FA機器.com」でカード決済を行った人々と、2012年2月25日から2022年12月22日までの間に当該サイトで登録や購入を行ったユーザーに関してです。これには、個人名やカード番号だけでなく、電子メールアドレスやログインパスワードも含まれていました。
カード情報漏えいの原因|ペイメントアプリケーションの改ざん
その結果、不正なアクセスが「FA機器.com」のシステムに存在する脆弱性を利用して決済処理アプリケーションが改ざんされていたことが確認されました。
今後の対応
この情報が公開された後、関連するユーザーに対して注意を喚起するために連絡が行われ、政府機関への報告済であるとのことです。
まとめ「EC-CUBEを利用したECサイトは必ずセキュリティ診断を」
本事例で使用されていたカートはEC-CUBEが使用されていたようです。今回もEC-CUBEの古いバージョンを使用していたことが要因となりペイメントアプリケーション改ざんを実施されたと想定されます。
EC-CUBEをご利用の事業者様は下記記事をご覧頂き、セキュリティ対策の参考にしてください。
本件は約2年弱の間カード情報が漏えいし続けていた事例となっています。もっと早くに脆弱性診断をしていれば被害を抑えれた可能性があります。一年に一回の診断よりもsecuasの毎日診断で、リスクの発見を迅速にして予防対策を実現してください。
【この記事と関連する記事はコチラ】