漏えいの概要
2021年11月15日に、有限会社トコちゃんドットコム(以下、同社)が運営するECサイト「トコちゃんドットコムECサイト(以下、同サイト)」が脆弱性を狙われサイバー攻撃の影響を受けた結果クレジットカード情報507件を漏えいしたと発表しました。
漏えいの詳細と原因
カード情報漏えいの詳細
同社の発表によると、2021年7月6日に同サイトを運営しているサーバー上で管理対象外の疑わしいファイルを発見。調査のために同サイトを停止し第三者の調査機関も交えて調査を開始しました。そして、2021年9月28日に同サイトを、2021年6月17日~2021年7月2日の期間に利用したユーザーのクレジットカード情報507件とログインデータ(IDとパスワード)が漏洩及び漏えいしたクレジットカードが不正利用されていることを確認しました。
カード情報漏えいの原因
同サイトのシステム自体にあった脆弱性を狙われて不正なファイルを置かれ、ペイメントアプリケーションの改ざんをされており、同サイトに入力されたクレジットカード情報が盗み取られていたとのことです。
今後の対策
同社は被害を受けたユーザーに直接連絡を取るとのことです。またカード会社と提携し、不正利用を監視するためのモニタリングを実施。漏えいした507件分のクレジットカードの再発行手数料は同社がふたんするむねを発表しています。
まとめ「売上規模に関わらず、ECサイトにはセキュリティ診断を」
今回の件は中小企業のECサイトが狙われた典型例となります。また、同社は問題が発覚してからサイトを再開するまで数ヶ月要したことと、漏えい後にサイトをリニューアルしています。また、リニューアルしたサイトでは顧客データの引継ぎが出来ておらず1から登録を促すような結果となりました。
この二つは目には見えない売上の機会損失として大きな損害になっていると想像ができます。
「うちは大手じゃないから」、「まだ立ち上げたばっかりだし」、「そんなに注文来てないから」と安易な思い込みはやめて企業の利益を守る為にもしっかりとしたセキュリティ対策を実施してください。
secuasは自社のサイトに潜むクロスサイトスクリプティング攻撃のリスクを見つけ出し、その対策方法を丁寧にお伝え出来ます。まずは無料診断でリスク件数を把握してください。