現在地

大麦製品のECサイト「大麦工房ロアオンラインショップ」(運営は大麦工房ロア)で、クレジットカード情報が最大で2万4780件流出した可能性があることがわかった。

調査会社による調査では、不正アクセス直接的な証跡は発見されていないものの、カード情報が抜き取られた可能性は否定できないため、12月25日に情報の漏えいの疑いについて公表。

大麦工房ロアは外部からの不正アクセスと推察しているが、侵入経路や手段は判明していないという。

流出した可能性がある対象は、2015年10月1日から2017年8月7日の間に「大麦工房ロアオンラインショップ」において、カード決済を新規利用した顧客情報。

氏名、カード番号、有効期限、セキュリティコードが流出した可能性がある。

2017年8月7日、クレジットカード会社から決済代行会社を通じてECサイトを利用した消費者のカード情報の流出懸念について連絡があり、ECサイトを閉鎖。専門調査会社Payment Card Forensics(PCF社)に調査を依頼した。

9月30日に最終調査報告書を受領。不正アクセスの直接的な証跡は発見できなかったという。

なお、大麦工房ロアでは漏えいの懸念が伝えられた後、直ちに次の対応を行った。

  • 「大麦工房ロアオンラインショップ」の閉鎖
  • 不正アクセスの監視強化
  • クレジットカード会社に対する不正利用モニタリングの実施要請
  • 関係官庁(個人情報保護委員会他)への報告
  • 警察への被害の申告および相談

なお、12月27日現在もECサイトは閉鎖中。セキュリティ専門会社のアドバイスの下、ECサイトのセキュリティ強化、チェック機能の強化を実施していくという。なお、ECサイトでは次の対策を行うとしている。

  • 「PCI DSS3.2」に準拠した安全なシステムへの改善(決済代行会社が提供するリンク型システムへの移行)
  • 脆弱(ぜいじゃく)性対策として、プログラムの修正などの適切な対処を継続して実施

大麦製品のECサイト「大麦工房ロアオンラインショップ」(運営は大麦工房ロア)で、クレジットカード情報が漏えいした可能性

ECサイトは現在(12月27日)も運営を停止している(画像は編集部がキャプチャ)

EC業界におけるセキュリティ対策について

経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCI DSS準拠)を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「JavaScriptを使用した非通過型」)の決済システムの導入を促進するとしている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。

この記事が役に立ったらシェア!
 
 
 
ニュース分類: 
記事カテゴリー: 

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]