昨晩の日記の続きです。
昨日報道されたように
アフィリエイト事業やショッピングサイトを展開するウェブシャークに不正アクセスがあり、顧客情報が外部へ流出したことがわかった。経済産業省では、個人情報保護法に基づき、詳細を報告するよう同社へ求めている。
これまで任意で事情聴取を行ってきた同省によれば、現時点で顧客の氏名やクレジットカード情報など10万件弱の個人情報が、不正アクセスにより外部へ流出したとの説明を同社より受けたという。
同社に対してクレジットカード会社から不正利用に関する指摘があり問題が発覚、同社が調査したところ不正アクセスが判明した。現時点で詳しい被害額はわかっていないが、実際の被害も発生している。
同省では、10月23日より任意で事情聴取を行ってきたが、事故の規模やクレジットカードが含まれ、被害も発生している状況を踏まえ、10月30日に個人情報保護法に基づいて今回の事故に関する報告の徴収を決定した。
具体的には、流出の経緯、原因など詳細な事実関係をはじめ、流出発生前の安全管理状況、発生時の対応、今後の再発防止策などについて報告を提出するよう求めている。
という事件があったわけです。で、10万人の個人情報が外部に漏れ経済産業省から行政指導をくらったらしいのですが、そのお詫びがわたしにも来ました。
お客様各位
平素はストアミックス・ドクタートニーの格別のご愛顧を頂きありがとうございます。突然のご連絡を差し上げまして大変申し訳ございません。本メールは弊社ストアミックス・ドクタートニーをご利用頂いた方全員に送信をさせて頂いております。この度、弊社サーバー・ネットワークに対して、外部から不正アクセスが行われたという痕跡が発見されたと指摘され、専門の調査会社による詳細な調査を進めてまいりました。同調査の結果、過去のお客様の注文の一部におきまして、クレジットカード情報の流出の可能性があったとの指摘を受けました。
弊社では、この度の事象を重く受け止め、カード利用されたお客様に対する不正取引被害防止を図るべく、現在、事象収束に向けて鋭意作業を行なっております。弊社ショッピングサイトでクレジット決済をご利用された方はカード不正利用の可能性があります。お手数ながらカードご利用明細の確認、ご利用されているカード会社へのお問い合わせをお願い申し上げます。
●不正アクセスによる情報漏えいの内容
調査の結果、不正アクセスによって窃取された可能性のある情報は、弊社ストアミックス・ドクタートニーウェブサーバーのログ内にありました。 このログはペイメント代行会社との通信ログとして残していましたが、この情報に不正アクセスがありました。調査した結果98件のカード情報が窃取された可能性のある痕跡を発見いたしました。窃取された情報とは、オンラインショップの受注データに含まれるクレジットカード情報(番号、有効期限、カード名義)であることが分かりました。
クレジットカード情報(会員番号、有効期限、カード名義)アクセスログで確認された数:98件
ウェブサーバの通信ログに存在していた数:94,243件
※こちらに関しては、窃取可能性のある件数になります。
●不正アクセスの日時・攻撃手法
日時:2011年11月14日~11月30日にかけて断続的に。
攻撃元:海外(中国のIPアドレス)
攻撃手法:バックドアによる不正侵入
(何らかの方法でサーバに不正プログラムをアップロードし、サーバの情報を不正取得・操作する攻撃手法)
・弊社データベースサーバー内のデータベースに対する
「SQLインジェクション」(コンピュータ言語を悪用し、データベースを不正に操作する攻撃方法)
●弊社として行なっている対策・検討している対策・クレジットカード情報をログに一切残さない仕組みを構築いたしました。この仕組は現在すでに稼働いたしております。
・プログラムの見直しを行いました。
SQLインジェクション・XSS(クロスサイトスクリプティング)の防衛のために、アクセスする引数の内容を精査し、関係のないものが入っていた場合にエラーや無効化する処理を導入しました。・アンチウィルスプログラム導入を行いました。プログラム上にバックドアやウィルスをアップロードされた場合に、検出するものです。
・OSのバージョンアップの定期実行を実施するように体制を整えます。OSの脆弱性があった場合速やかに検証・導入を行い、脆弱性をなくすよう努めます。
この度はお客様に大変なご迷惑とご心配をお掛け致しまして誠に申し訳ございません。今後このようなことの無いよう鋭意努力いたしてまいりたいと存じます。今後共引き続きストアミックス・ドクタートニーへのご愛顧よろしくお願い申し上げます。
■ご利用明細の確認及びお使いのカード情報についてのご質問、ご相談などご利用頂きましたクレジットカードの裏面などに記載されているサポートデスク及びお問い合わせ窓口までご連絡頂きますようお願い申し上げます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□発行:株式会社ウェブシャーク
□住所:〒541-0053 大阪市中央区本町3丁目1-6 羽州本町ビル4F
□Tel : 06-6264-2816(代表)(10:00~18:00)
お問い合わせ:info@store-mix.com
□ストアミックス :http://www.store-mix.com/
□ドクタートニー :http://www.store-mix.com/tony/
ということですが、実は問題はここには無いと思います。このお詫びメールはめちゃくちゃ大量に送られており、Facebookの私の友人やフィード購読者にも多数いるくらいなので、おそらく数百万〜数千万単位で配信されている模様です。しかしわたしを含め、ほとんどすべての人が 「買った覚えも登録した覚えも無い」のです。
知恵袋でも投稿がありまして、みんな「買った覚えが無いのに住所まで正確に登録されている」「これはなんでだ」と不安に思ってるようです。→こちら
わたしも「買った覚えがない」と問い合わせしたところ、上記のメールに記載されていない別のショップで2006年に買った内容を送ってきました。
なぜ、別のショップで買ったデータをウェブシャークが所有しているのか??
そのほうがずっと大問題でしょ。メルアドじゃ無くて住所とカード情報含めた個人情報ですよ!!
いったいこの会社はなんなのか。会社概要を見ますと
| 資本金 | 81,250,000円 |
| 設立 | 2002年2月1日 |
| 主要株主 |
|
で、アフィリエイターに商品をドロップシッピングで売らせる「電脳卸」というサービスをやっている。考えてみると、問い合わせした時に私の買い物履歴で相手が出してきた内容は、昔の記憶を辿ると全く別の店からヤフオクか楽天で買ったものだったように思う。
ネットショップやヤフオク出品者の中には、自分で商品を持たず、受発注で注文だけとって配送はお任せというところもあるでしょう。実際、「メーカー直送」という仕組みで販売している業者にはまともなショップだって多い。
が、あくまで自分の個人情報は自分が買った店が保有するならいいけれど、その個人情報(名前から住所からクレジットカードまで)すべてを、別のアフィリエイトの会社に移されることは承認していない!! しかも知らされてもいない。お詫びメールにはそのことには一切触れられていないで、自社の客と言うことになっている。これはおかしいのではないか。
これって重大な顧客情報の漏洩というか、譲り受けじゃ無いの????
これじゃヤフオクなんて怖くて利用できないですよ!!
経済産業省は把握しているのか、電話で確認したところ、折り返しいただきました。詳細は業者からの報告待ちになっているそうです。詳細を伝えたところ、担当者に詳しく報告するということでした。