セキュリティコード含むカード情報99件が漏えいか。北欧家具のECサイトに不正アクセス
エイチエイチスタイルが運営するデザイナーズ家具・北欧家具の通販サイト「hhstyle.com」が第三者による不正アクセスを受け、クレジットカード情報99件が外部に流出した可能性があることがわかった。
現在、通販サイトの運営は停止している。
脆弱(ぜいじゃく)性のあるプログラムが存在していたことが原因。また、決済代行会社のカード決済システムの導入に関し、カード情報が加盟店のサーバーを通過する「通過型」の決済方法を採用していたと考えられ、サーバー内に記録されたカード情報が不正アクセスによって漏えいしたとみられる。
流出した可能性があるのは、2016年10月23日~11月8日の間、ECサイトでカード決済を利用した顧客の情報。
クレジットカード番号、有効期限、セキュリティコード、カード会員名、カード会員住所が漏えいした可能性がある。
2016年11月8日、カード情報の漏えいの可能性について確認。原因となった不正プログラムを取り除いた。翌日11月9日に第三者調査機関「Payment Card Forensics」(PCF社)へ調査を依頼した。
11月15日に警視庁へ被害状況を通報、11月30日にPCFから最終調査報告書を受領した。
ECサイトの再開に向け、カード会社指定のセキュリティ基準を満たしたカード決済システムを導入する方針。カード情報がサーバーを通過しない「非通過型タイプ」へと変更する。再開のタイミングは、カード会社との合意の上で決める。
エイチエイチスタイルでは、「PCF社の調査結果を踏まえ、システムのセキュリティ対策の強化及び監視体制の強化を行い、再発防止を図ってまいります」とコメントしている。
経済産業省はカード情報保護の強化に向けた実行計画を掲げており、EC加盟店からのカード情報漏えいが発生するリスクが低い「非通過型」を推進。PCIDSS準拠済みの決済代行会社を活用したカード情報のリンク型決済、モジュール型の決済システムの導入を促進している。