総合通販「優生活」のECサイトでカード情報約4000件が流出か、セキュリティコードも

総合通販の優生活が運営しているECサイトが外部からの不正アクセスを受け、クレジットカード情報を含む個人情報が流出した可能性があることがわかった。

アプリケーションの脆弱（ぜいじゃく）性を突いた不正アクセス攻撃を受け、管理者権限が不正に用いられた可能性があるという。

流出の規模（疑いを含む）はクレジットカード情報を含む個人情報3989件。2016年1月19日～2017年1月10日の間に、通販サイトでクレジットカード決済を利用した顧客が対象。

流出した（疑いを含む）のは、氏名（カード名義人名）、クレジットカード番号、有効期限、セキュリティコード、住所。

2017年1月10日、クレジットカード決済代行会社からカード情報流出の可能性について指摘を受け、カード決済の利用を停止。社内調査を進めると同時に、外部の専門調査会社「Payment Card Forensics 株式会社」（PCF社）に調査を依頼した。

2017年3月14日にPCF社から調査報告を受け、カード情報を含む個人情報への不正アクセスの疑いと流出の可能性があることが判明した。

優生活は4月25日に情報流出対象者（疑いを含む）にメールおよび郵送で、お詫びと注意喚起を案内。専用コールセンターを設置した。

現在、不正アクセスの監視強化を実施。カード情報の悪用を防止するため、カード会社に不正利用モニタリングを依頼している。

なお、今後について、クレジットカード決済システムの国際的なセキュリティ基準である「PCI DSS」に準拠したトークン決済（購入者が入力するカード番号を暗号化された文字列に変換してオーソリを実行する決済方法）への移行を進める。

不正アクセスの脆弱性診断を定期的に実施し、管理者権限が不正に用いられないようシステムを改良するとしている。

EC企業に求められるセキュリティ対策

経済産業省主導の「クレジット取引セキュリティ対策協議会」（事務局は日本クレジット協会）は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面（EC）加盟店については原則として非保持化（保持する場合はPCIDSS準拠）を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCIDSS準拠済みのPSP（決済代行会社）が提供するカード情報の非通過型（「リダイレクト（リンク）型」または「Java Scriptを使用した非通過型」）の決済システムの導入を促進するとしている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。