美容室や理容室向けECサイトに不正アクセス、クレジットカード情報1.5万人分が漏えいした可能性
美容器具・美容用品の販売を手がけるインテンスは5月20日、美容室や理容室向けのECサイト「fofo」が第三者にによる不正アクセスを受け、クレジットカード情報1万5198件が漏えいした可能性があると発表した。
情報漏えいの原因は、「fofo」の一部システムの脆弱(ぜいじゃく)性を突いた第三者の不正アクセス。初回の不正アクセス後も権限を維持できる「WebShell」(Webサーバへ不正にアップロードされるバックドアプログラム)が設置され、サーバー内の不正操作が行われた。
なお、独立行政法人情報処理推進機構(IPA)は2023年8月、近年のサイバー情報窃取事案で、「侵害されたネットワーク装置やWebサーバ上にChina Chopper(中国菜刀)と呼ばれるWebshellのファイルがバックドアとして設置されるケースがあるため、不審なファイルが増えていないかといった観点でも注意してほしい」と呼びかけていた。
個人情報漏えいの可能性があるのは、2020年12月24日~2023年12月8日に「fofo」でクレジットカード決済をした顧客が対象。漏えいの可能性がある情報は、クレジットカード番号、有効期限、セキュリティーコード、会員氏名、DBデータ、ログイン情報など。
一部のクレジットカード会社から2023年9月13日、自社ECサイト利用顧客のクレジットカード利用情報の漏えい懸念について連絡があった。これを受け第三者調査機関による調査を開始。1月17日、調査機関による調査が完了した結果、2020年12月24日~2023年12月8日までに、「fofo」で購入した顧客のクレジットカード情報が漏えいした可能性があることを確認した。
情報漏えいの恐れがある対象顧客にはメールで個別に連絡。顧客がクレジットカードの差し替えを希望する場合、カード再発行の手数料は顧客に負担がかからないよう、クレジットカード会社に依頼した。
インテンスは調査結果を踏まえ、システムのセキュリティー対策および監視体制を強化、再発防止を図っていく。現在、ECサイトの運用で使うサーバーを完全に停止し、新たなサイト運用に向け対応しているという。改修後の「fofo」運用は決定次第、Webサイト上で告知するとしている。
2025年3月末までにECサイトに導入が義務化される「3Dセキュア2.0」(EMV 3-Dセキュア)など、ECサイトにおける「安心・安全」「買いやすい環境作り」は重要性が増しています。ネッ担編集部が主催するECイベント「ネットショップ担当者フォーラム 2024 春 ~eコマース コミュニケーションDay~」(5月28日+29日)では、EC企業が抱えるセキュリティ、決済などの課題を解決に導くセッションをご用意しています。ぜひイベントサイトをチェックしてください。