本記事は、外部サービスを自社のサイトに導入している事業主様に向けた記事になっております。
1.事例紹介
2022年11月5日に株式会社カクヤスは同社が運営する「カクヤスネットショッピング」でのクレジットカード情報が漏えいしたと発表しました。
【重要】クレジットカード情報漏洩に関するお詫びとお知らせについて 株式会社カクヤス>>
2.不正アクセス事件の詳細と被害内容
株式会社カクヤスは同社が運営する通販サイト「カクヤスネットショッピング」に導入していたショーケース社が提供しているWeb 入力支援サービスに発生した脆弱性を突かれクレジットカード情報が漏えいしました。
漏えいした対象は2022年7月19日から7月29日に同サイトでクレジットカード情報を入力したユーザーの情報8,094件。
上記の期間以前に登録していたカード情報の漏えいの疑いはないとのことです。
3.不正アクセスの原因と対策
株式会社カクヤスは24時間365日の第三者によるセキュリティ監視システムを導入しており原因の特定は非常に迅速だったかと思います。
対策として株式会社カクヤスはショーケース社より報告を受けた2022年7月28日にサービスの利用停止と切り離しと「カクヤスネットショッピング」のシステム全体のフォレンジック調査を実施。
クレジットカード番号の再発行を希望する顧客への補償を行うことも発表しております。
また、再発防止対策として株式会社カクヤスは万全を期すために、今後はリンクタイプ決済に切替、サイト上ではクレジットカード情報を一切扱わない仕様に変更すると発表しています。
4.まとめ
今回はセキュリティ監視システムを導入している会社がカード情報漏えい事件の被害にあった内容になります。
記事だけよむと「システム入れてても意味ないんじゃないか?」と感じてしまう方もいらっしゃるかもしれません。
しかし、この内容には2つの考えるべきポイントがあります。
・導入していたセキュリティサービスが脆弱性診断をしていたのか?
24時間365日監視という言葉で考えるとWAFに関連するサービスを導入していたと想定されます。
WAFは「不正と思われるアドレスのシャットダウン」であれば根本的な問題を放置してしまっている状態ですので防げません。
・導入していたからこそその他への被害を防げた。
今回は残念ながら漏えい事件に発展してしまいましたが、自社ではしっかり対策をしていたので外部サービスが起因した部分のみでその他への被害は抑えられたとも考えられます。
相反する2つのことにはなりますが、正しいセキュリティの運用の重要性を考えさせられる事件です。
あなたのサイトは「正しいセキュリティ」を運用出来てますか?
