漏えいの概要
2023年7月25日に、雛人形製作などを手がける株式会社東玉(以下、同社)が運営する「東玉オンラインショップ(以下、同サイト)」が、不正アクセスの結果、ユーザーのカード情報30件含む多数の個人情報が漏洩した可能性があることを発表しました。
漏えいの詳細と原因
カード情報漏えいの詳細
同社の発表によると、2023年3月17日に同サイトを利用したユーザーのクレジットカード情報が漏えいをしている懸念を持ちカード決済を停止。2023年5月26日に第三者調査機関の調査が完了。報告では、3月1日~3月14日までの14日間に同サイトを利用したユーザーのカード情報が漏えいしており、さらに一部は不正利用されている可能性があることと、以下の個人情報が漏えいしていることが判明しました。
漏えいした個人情報
1.2023年3月1日~2023年3月14日の期間中に同サイトでクレジットカード決済をされたお客様 30名分
2.2023年3月16日までに同サイトにおいて会員登録をしたユーザー 265名分
3.2023年3月16日までに本件サイトにおいて商品の購入をされたお客様 1,007名分
4.上記3.の商品購入に時に届け先として設定された配送先情報 187名分
カード情報漏えいの原因「ペイメントアプリケーションの改ざん」
同社はクレジットカード情報は非保持化していたが、決済画面を改ざんされるいわゆるペイメントアプリケーションの改ざんをされていたことによりクレジットカード情報が漏えいしたとのことです。
今後の対策
同社はクレジットカード会社と連携して漏えいした可能性のあるカード情報のモニタリングを行い、クレジットカードの不正利用の防止に努めると共に、漏えいの対象となったユーザーへは連絡を行い対応を続けると発表しています。
まとめ「売上規模に関わらず、ECサイトにはセキュリティ診断を」
ECサイトが原因となったカード情報の漏えいは日々続いています。今回もペイメントアプリケーションの改ざんが理由となり不正利用も確認されているようです。以前の記事でも書きましたが、漏えいしたカードを不正利用された場合の損害は全て漏えいした企業に賠償責任が生じます。「30件ぐらいの漏えいだから大したことはない」と思っていると数百万円を超える不正利用の賠償請求に応じなくてはいけない可能性があることをEC運営者は肝に命じておいてください。
secuasはこれらのリスクを事前に見つけ出し対策をするサポートを月1万円から提供しています。数百万円の賠償と年間12万円で安心なサイト運営のどちらがいいかは言わずもがなだと思います。
まずは無料診断でサイトに潜むリスクを確認して下さい。
[この記事と関連する記事はコチラ]