不正アクセスでカード情報1207件が漏えいか。セキュリティコードも外部流出の可能性

紅茶などの通販サイト「H&F BELX公式オンラインショップ」が外部からの不正アクセスを受け、クレジットカード情報1207件が流出した可能性があることがわかった。

「H&F BELX公式オンラインショップ」はオープンソースパッケージの「Magento」でECサイトを構築している。運営元のH&F BELX NETによると、「Magento」の脆弱（ぜいじゃく）性を突いた不正アクセス攻撃によってECサイトが改ざんされ、カード会員データが不正に外部へ転送されていたという。

流出の規模（疑いを含む）はクレジットカード情報1207件。2017年3月1日～2017年4月14日の間に、通販サイトでクレジットカード決済を利用した顧客が対象。

流出した可能性があるのは、クレジットカード番号、カード名義、住所、有効期限、セキュリティコード。

クレジットカード決済代行会社からカード情報流出の可能性について指摘を受け、カード決済の利用を停止。外部の専門調査会社「Payment Card Forensics 株式会社」（PCF社）に調査を依頼した。

PCF社から調査報告を受け、不正アクセスによってカード情報漏えいの疑いが生じたことが判明した。

なお、「H&F BELX公式オンラインショップ」では以下の対策を実施済み。

• カード情報を入力するクレジットカードシステムの利用停止
• クレジットカード会社による不正モニタリング強化
• PCF社での第三者機関による調査
• セキュリティ対策強化
• 関係官庁（個人情報保護委員会他）への報告
• 警察への報告及び相談
• お客さま窓口の設置

「H&F BELX公式オンラインショップ」では、加盟店のWebサーバやアプリケーションサーバをカード会員データが通過するモジュール型のカード決済を行っていたと考えられる。そのため、今後の再発防止策として、カード情報が自社のサーバーを通過しないリンク型決済システムへ変更するとしている。

ECのセキュリティ対策について

経済産業省主導の「クレジット取引セキュリティ対策協議会」（事務局は日本クレジット協会）は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面（EC）加盟店については原則として非保持化（保持する場合はPCI DSS準拠）を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP（決済代行会社）が提供するカード情報の非通過型（「リダイレクト（リンク）型」または「JavaScriptを使用した非通過型」）の決済システムの導入を促進するとしている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。