ニコン子会社のECサイトで顧客情報が漏えいか。SSL設定の不備でカード情報含む654件

ニコンの子会社ニコンイメージングジャパンが運営するECサイト「ニコンダイレクト」で、SSLによる暗号化通信の一部設定の不備で654件の顧客情報が暗号化通信されていなかったことがわかった。この内、187件はクレジットカード情報を含んでいる。

2017年1月27日（金）午後1時30分から2月8日（水）午前10時27分までの期間、「ニコンダイレクト」で個人情報を入力した顧客が対象。通常、顧客情報を保護するためにSSLによる暗号化通信を行っているが、一部設定に不備があったという。

SSLで暗号化されず、外部に情報が漏れた可能性があるカード情報は、カード番号、カード名義、カード有効期限、セキュリティコード。

2017年2月8日（水）午前10時27分に設定を修正。それ以降は正常に暗号化通信されているとしている。ニコンイメージングジャパンによると、再発防止のため直ちに社内の作業の手順見直しを行い、実施しているという。

該当顧客に対しては、2月20日にお詫びとお知らせのメールを送信した。

ニコンイメージングジャパンでは、クレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施。不正利用の防止に努めているとした。

なお、独立行政法人情報処理推進機構（IPA）では2016年11月8日、「SSL/TLS暗号設定ガイドライン～安全なウェブサイトのために」とした暗号設定対策資料を公表（最終更新）。SSL/TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインをまとめている。