カード情報漏えいの概要
ビーピークラフト株式会社 弊社が運営する「Beads&Parts通販サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
ビーズとアクセサリーパーツの大手通販サイト「Beads&Parts通販サイト」が不正な第三者からのアクセスを受けたことが明らかになり、2821件の個人情報が漏洩した可能性があると2023年5月16日にビーピークラフト株式会社(以下、同社)が公表しました。中には、1771件ものクレジットカード情報も含まれています。
カード情報漏えいの詳細と原因
漏えいした可能性のある情報は、今年の1月12日から2月17日までの間にこのサイトを利用した人々の個人情報で、漏えいした内容は氏名、メールアドレス、郵便番号、住所、電話番号などが含まれ、総数では2821人分になると発表されました。これらには1771人分のクレジットカード番号、名義人、有効期限、セキュリティコードなどの情報も含まれているとのことです。
問題が明らかになったのは、2月17日にユーザーからウェブサイトにアクセスできない旨の報告があったことから同社サイトは一時停止し、クレジットカードの決済機能も一時停止を決断。この三日後にはクレジットカード会社からユーザーのカード情報が漏洩した可能性があるという連絡を受け取りました。
漏えいが生じた原因は、システムの弱点を悪用した不正アクセスによるものであり、決済アプリケーションのデータが改ざんされていたことが明らかとなりました。調査では、クレジットカード情報が漏えいしており、一部が不正に使われている可能性もあることが判明しました。
*ペイメントアプリケーションの改ざんについては以下の記事を参照ください。
今後の対応
同社はメール連絡により該当する利用者に通告を実施し、クレジットカード会社とも連携し、取引のモニタリングを進めています。また、今後の対策として、セキュリティ対策の強化と監視体制の構築を進める方針を立てています。
公表が遅れた理由について、ビーピークラフトは「未確定な情報の公開は混乱を生む可能性があるため、対応準備やカード会社との調整後に公表することを選んだ」と説明しています。この事態を受け、決済機能を持つウェブサイトがセキュリティ対策の重要性を強く認識する必要があると強調しました。
まとめ「決済機能を持ったECサイトは必ずセキュリティ診断を」
今回の事例もペイメントアプリケーションの改ざんによる被害であり、ECサイト自体の脆弱性診断を実施していれば起こらなかった可能性は大いにあります。今回のように漏えいしたクレジットカード情報を不正利用された場合は不正利用分の損害金額はカード会社から漏えいした企業に請求される可能性が非常に高いです。
*詳細は下記記事を参照してください。
また、カード会社への損害賠償だけでなく調査のために数日間サイトを停止したり、カード決済機能を止めたりと機会損失も計り知れないものになっていると思います。
決済機能を搭載してから半年以上更新していない。
一度も脆弱性診断をしたことが無い。
トークン型の決済を導入している。
上記のようなECサイトをお持ちの事業者様はまず、記事のような被害にあう前に無料診断を実施して自社のサイトにリスクが無いかご確認ください。
