カード情報298件が流出の可能性、自転車の専門ECサイトに不正アクセス
自転車の専門ECサイト「DINER」(運営はダイナー)が外部からの不正アクセスを受け、カード情報298件が漏えいした可能性があることがわかった。
ECサイトのWebアプリケーションの脆弱(ぜいじゃく)性を突いた外部からの不正アクセスが原因。現在、カード決済は停止している。
流出した恐れがあるのは、2015年3月1日~2016年12月28日にECサイトでクレジットカード決済を利用した顧客の情報。
漏えいした可能性があるのは、氏名(カード会員名)、住所、クレジットカード番号、有効期限。
2016年12月27日にシステム運用会社からカード情報の流出懸念について連絡を受け、翌28日にカード決済を停止。2017年1月4日に第三者調査機関「Payment Card Forensics」(PCF社)へ調査を依頼した。
2017年2月23日にPCF社から最終調査報告書の提出を受け、各カード会社などと連携、対応を協議していた。
今後の再発防止策として、カートシステムの全面刷新、カード情報がサーバーを通過しない決済システムへの変更、情報セキュリティに関する専門会社と連携したセキュリティ管理体制の強化、組織体制の再整備などを迅速に行っていくとしている。
カード利用停止、クレジットカードの不正モニタリングの強化などを実施。所轄官庁への報告やお客様窓口を設置している。
セキュリティ対策について
経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。
カード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCIDSS準拠)を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCIDSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「Java Scriptを使用した非通過型」)の決済システムの導入を促進するとしている。
また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。