本記事は、外部サービスを自社のサイトに導入している事業主様に向けた記事になっております。
1.事例紹介
2022年10月25日に株式会社エービーシーマートは同社が運営する「ABC-MART公式オンラインストア」でのクレジットカード情報が漏えいしたと発表しました。
弊社が運営する「ABC-MART公式オンラインストア」における個人情報漏えいの可能性に関するお詫びとお知らせ
2.不正アクセス事件の詳細と被害内容
株式会社エービーシーマートが運営するサイト「ABC-MART公式オンラインストア」のクレジットカード情報入力画面に導入していたショーケース社が提供している画面最適化サービスに発生した脆弱性を突かれクレジットカード情報が漏えいしたと発表。
漏えいした対象は2022年7月24日から7月26日に同サイトでクレジットカード情報を入力したユーザーの情報2,298件となっている。
また、漏えいの疑いが判明した2022年8月9日から10月25日まで専門機関による調査のため「ABC-MART公式オンラインストア」ではクレジットカードの利用が停止されていた。
3.不正アクセスの原因と対策
本件は株式会社エービーシーマートの問題ではなく導入していたサービスにあった脆弱性が起因した漏えい事件です。
株式会社エービーシーマートは該当サービスを止め、自社のサービスから切り離しを行いフォレンジック調査を実施。
漏えいした可能性のあるユーザーには個別で連絡を行うとのこと。
また、漏えいしたカード情報はカード会社と連携しモニタリングを強化して不正利用防止に努めると発表されています。
もし株式会社エービーシーマートに原因があったとすると、サイトの脆弱性を常時監視しトラブル発生前に対応出来なかったことです。
4.まとめ
今回、発表されていない金額的な被害は2,298件のカード再発行手数料、フォレンジック調査費用合わせて約1,000万円は発生していると想定されます。
外部サービスが引き起こしたトラブルですので、これらの費用は請求できるかもしれません。
しかし、約2か月の間サイトでクレジットカードを利用できなかったことによる遺失利益は計り知れないものです。
外部のサービスだから安心ではなく、事業を行っている当事者として、セキュリティに対して高い意識をもち、リスクを即時検知出来る体制を取って頂きたいです。
secuas(セキュアズ)なら毎日サイトを診断しているので外部サービスに脆弱性が発見されてもすぐに検知、即時通知を行い漏洩事件に発展する前に対策出来たかもしれません。