ヨーロッパ衣料の販売・卸・店舗運営などを手がけるリデアの通販・ECサイトで、カード情報などの顧客情報が再び漏えいした。「camicianista(カミチャニスタ)」が外部から不正プログラムによる攻撃を受けたため。流出したカード情報にはセキュリティコードも含まれている。
リデアでは2014年、アクセサリーなどを扱う別のECサイト「クルチアーニC」「クルチアーニ」が外部からの不正アクセス攻撃を受け、カード番号やセキュリティコードなどが漏えい。
2015年2月、クレジットカード情報保護のための国際的な情報セキュリティ基準「PCI DSS」に準拠したウェブサイトの構築と運営体制などで、セキュリティ対策を強化していた(詳しくはこちら)。
漏えいの対象は、「カミチャニスタ」で2016年1月25日~2016年3月2日の間にカード決済を利用したユーザーのカード情報744件。カード番号、有効期限、セキュリティコードなどが流出した。なお、「カミチャニスタ」は3月2日にサイトを閉鎖している。
イデアによると、不正ファイル設置などの不正プログラム攻撃で情報が搾取されたものの、不正侵入当時のログが存在しない為、不正侵入の原因は不明と説明。次のようにコメントを発している。
セキュリティ面及び、不正プログラムの対策を強化し運用してまいりました。外部手口の巧妙化により、結果としてお客様には多大なるご迷惑やご心配をお掛けしたことをお詫び申し上げます。この度は大変申し訳ございませでした。
3月2日にカード流出の可能性を把握したイデアは、3月3日に、カードブランド5社(American Express、Discover、JCB、MasterCard、Visa)から認定を受けた第三者調査機関「PAYMENT CARD FORENSICS株式会社(PCF社)」に調査を依頼。
3月24日に最終報告を受け、流出情報の内容などが明らかになった。
イデアは今後、警察への相談なども踏まえて詳細原因の究明調査を実施。再発防止策の構築、顧客情報保護体制の一層の強化に取り組むという。なお、セキュリティ対策が整うまで、ECサイトの運営は休止する。