カード情報漏えいの概要
2023年8月17日に岡山県に本社を構える倉敷帆布株式会社(以下、同社)は、自社が運営するする「倉敷帆布オンラインストア(以下、同サイト)」が不正アクセスにより顧客のクレジットカード情報8,655件を含む約40,869件の個人情報が漏えいした可能性を公表しました。
カード情報漏えいの詳細と原因
同社は情報漏えいの影響を受ける可能性があるのは2021年3月24日から2023年4月17日までにカード決済を行った8,655名のユーザーと同サイトのオープンから2023年4月17日までに利用したユーザーの氏名、住所を初めとする個人情報、約40,869件と公表しています。
同社からの報告によると、2023年5月2日にクレジットカード会社から顧客情報が漏えいしている危険性があるとの連絡を受けECサイトの診断を行った結果、同社がECサイトをオープンした当初から2023年4月17日まで使用していたシステムに存在していた脆弱性を突いて、攻撃者がサイトを改ざんし不正アクセスを行っていたことが判明しました。
同社の見解によれば、攻撃者達は被害サイトのペイメントアプリケーションを改ざんし、これにより顧客が気付かない間にクレジットカード情報を抜き取っていたと考えられます。
*ペイメントアプリケーションの改ざんについては下記記事を参考にしてください。
今後の対応
同社は2023年4月17日に新システムに移行していた為、対策は完了しているとしたものの、危険性を考慮し同サイトを閉鎖し2023年5月9日に同サイト上でのカード決済を停止し及びサイト内のデータ保全を実行したとのことです。
まとめ「ECサイトのセキュリティは常に実施するのがベスト」
今回の事例で注目すべき点は2021年3月から約2年超の期間、利用したユーザーのカード情報が漏えいしていたことです。
「新サイトに移行するから今セキュリティを実施しても意味がない」という声をよく聞きますが、今回のような事例は新サイトに移行する前でも実施していれば被害を抑えることは出来た可能性はあります。脆弱性はいつ現れるのか、いつ狙われるか誰もわかりません。
*脆弱性の発生頻度については下記記事をご参照ください。
また、詳細は語られていませんが「同サイトのオープンから2023年4月17日までに利用したユーザー」の情報が漏えいしているのも非常に気になります。もしかするとサイト公開時に既に漏えいの改ざんが成されていた可能性も否定できません。サイト立上げの時に必要なセキュリティを必ず実施しておくことが重要だということを改めて実感させられる事例となっています。
あなたのECサイトも改ざんリスクが有るのか、ぜひ一度診断してみてください。