出光クレジット株式会社 外部サービスが原因でカード情報を漏えい【漏えい事件事例紹介】

本記事は、外部サービスを自社のサイトに導入している事業主様に向けた記事になっております。

 

1.事例紹介

2022年8月4日に出光クレジットは同社が運営する「ウェブステーション」の新規登録・再登録画面に導入していた外部サービスの脆弱性が原因となりクレジットカード情報が漏えいしたと発表しました。

【重要】個人情報漏洩に関するお詫びとお知らせについて 出光クレジット>>

 

2.不正アクセス事件の詳細と被害内容

同社が運営するサイト「ウェブステーション」の新規登録・再登録画面に導入していたショーケース社が提供するWebページの最適化サービスが持っていた脆弱性を突かれ悪意のある第三者によって不正に改ざんされユーザーが入力した情報が漏えいしたと発表。改ざんされた2022年7月19日からショーケース社が7月26日にシステム修正を完了させる7日間に新規登録・再登録画面で入力した下記の会員情報が漏えいしました。

・クレジットカード番号
・有効期限
・セキュリティコード
・生年月日

具体的な漏えい件数については2022年11月4日時点でも発表はありません。

 

3.不正アクセスの原因と対策

本件は出光クレジット株式会社側の問題ではなく導入していたサービスにあった脆弱性が起因した漏えい事件です。
出光クレジットは早急に該当サービスを止め、自社のサービスから切り離しを行い対策を完了したとのこと。

また、漏えいしたカード情報はカード会社と連携しモニタリングを強化して不正利用防止に努めると発表されています。

 

4.まとめ

今回は「外部サービスは安全」という誤った認識が引き起こした事件です。
もちろん、問題は脆弱性を放置していた外部のサービスですが漏えい事件の責任は出光クレジット株式会社に発生します。
サイトのセキュリティを守るのはあくまでも事業主の責任です。
本当に自社のサイトにリスクが無いか今一度ご確認ください。