目次
漏えいの概要「株式会社たん熊北店」
2023年8月14日に株式会社たん熊北店(以下、同社)は運営する”たん熊北店”というオンラインストアに、不審なアクセスが確認され、最大で1,123件のクレジットカード情報と6,907件の個人情報(配送先情報含む)が漏えいする可能性があると発表しました。
漏えいの詳細と原因
漏えいの詳細
同社の発表によると、2023年2月21日に決済代行会社からの情報流出の可能性があるという報告を受け、同日に同サイト上に公開していたカード決済機能を停止しました。事実の確認のため第三者の調査機関による調査を開始。2023年5月19日に調査機関より2021年2月22日から2023年2月10日の期間に同サイトでカード決済をしたユーザーのクレジットカード情報等が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があると報告がありました。
また、カード情報以外にも2023年2月13日までに同サイトで会員登録及び商品の購入をされたユーザーの個人情報も漏えいした可能性があることを確認しています。
漏えいの原因「EC CUBE2系のペイメントアプリケーションの改ざん」
原因としてはウェブサイトで利用していた決済アプリケーションの改ざんいわゆる「ペイメントアプリケーションの改ざん」が原因だったと確認されています。被害を受けていた時はEC-CUBE 2系を利用していたようで、今回の問題の発覚直前の2023年2月14日に4.2系にリニューアルをされていました。
今後の対応
現在は新システムに移行されているが、クレジットカード決済の再開は未定とのことです。同社は漏えいしてしまったユーザーにログインパスワードの再設定、他のサイトでのログインID・パスワードの変更を依頼しカードの不正利用の確認、不審なメール及び電話で個人情報を伝えないように案内をしています。
まとめ「小規模のECサイトでもセキュリティ診断は必須」
本件は約2年間もの間、カード情報が漏えいし続けていた事例になります。2021年2月22日からペイメントアプリケーションの改ざんにより日々利用されているユーザーの情報が攻撃者に転送され続けいたことになります。
本件で学ぶべきことは2つ「EC-CUBEのセキュリティ対策の重要性」と「セキュリティ対策はサイトの規模に関係なく必要」ということです。
2018年にオープンした同サイトは当初からEC-CUBE2系を利用し続けていたと思います。2022年よりリニューアルに向けて動いていましたが、現在使用しているシステムのセキュリティ対策も合わせてするべきだったと考えられます。
また、2年で1,123件のカード情報漏えいということは一ヶ月約46件利用されているサイトが狙われたということです。現在ECサイトを運営している事業者はこの数字と自社の利用件数を比較して今一度、自社のECサイトにセキュリティ対策が必要有るのか考えてみてください。
[この記事と関連する記事はコチラ]