カード含む個人情報3.8万件が漏えいか。イードの子会社エンファクトリーのECサイトで

メディア事業を手がけるイードの子会社で、ECサイト運営などのエンファクトリーのECサイト「STYLE STORE」「COCOMO」が第三者による不正アクセスを受け、クレジットカード情報を含む個人情報3万8313件が外部に流出した可能性があることがわかった。

原因は、脆弱性のあるプログラムが存在したためという。また、決済代行会社のカード決済システムを利用している際、カード情報が加盟店のサーバーを通過する「通過型」の決済方法を採用していたと考えられ、サーバー内に記録されたカード情報が不正アクセスによって漏えいしたとみられる。

流出した可能性があるのは、2013年4月1日～2016年7月27日の間、ECサイトでカード情報を登録、もしくは利用した顧客の情報。

氏名、住所、電話番号、メールアドレス、クレジットカード情報を含む個人情報が漏えいした可能性がある。

2016年7月11日、決済代行会社から「STYLE STORE」「COCOMO」で決済したカードの情報を用いて不正利用が行われた疑惑があるとの第一報が入り、7月13日に第三者調査機関「Payment Card Forensics」（PCF社）へ調査を依頼した。

社内ではサイトのセキュリティ調査を実施。その後、7月27日にカード決済機能を停止した。7月27日～8月24日の間、サイトの脆弱性を確認し、対策を実行。9月16日に警視庁へ被害状況を通報した。

エンファクトリーによると「はセキュリティ対策として、ファイアウォールの構築や脆弱性診断を実行しておりましたが、調査の結果、外部からの不正アクセスによって情報の一部が流出した可能性があることが発覚いたしました」と説明。

プログラムの改修によって脆弱性のあったプログラムは修正。今後、カード情報がサーバーを通過しない「非通過型タイプ」への変更作業を実施する。再開のタイミングは、所定の安全性を満たすのかを徹底確認し、カード会社との合意の上で決める。

なお、経済産業省はカード情報保護の強化に向けた実行計画を掲げており、EC加盟店からのカード情報漏えいが発生するリスクが低い「非通過型」を推進し、PCIDSS準拠済みの決済代行会社を活用したカード情報のリンク型決済、モジュール型の決済システムの導入を促進している。