ネット通販18サイトでカード情報漏えい約1万件、カートシステムに不正アクセス
ジェネシス・イーシーは8月29日、ECサイト構築システム「Genesis-EC」を導入している18社のECサイトから、最大9458件の顧客のクレジットカード情報が流出した可能性があると発表した。カードの不正利用の被害も発生しているという。
カード情報流出の対象となるECサイトは、以下18社。各社は情報流出が発生したことをECサイトで顧客に告知している。
- もぐもぐ共和国(株式会社アレルギーヘルスケア)
- 造花ドットコム(有限会社アイリス)
- シティ・ガス(株式会社シティネット)
- MotoJam(有限会社エイメント)
- 幸せの銘酒市川(有限会社市川商店)
- フォグ(有限会社フォグリネンワーク)
- テンテンの森(株式会社マルト)
- ウッドデッキ・DIYのリーベ(株式会社リーベ)
- オンラインワッシーズ(株式会社鷲谷商店)
- CAFF工房(株式会社セイコー珈琲)
- 箔座(箔座株式会社)
- Bigsnet(株式会社ノア・コーポレーション)
- 健康惣菜 知久屋 本店(株式会社知久)
- 全農食品 ふるさと倶楽部(全国農協食品株式会社)
- ファンタジーワールド(株式会社ファンタジーワールド)
- 自然食品・有機米 かねこや(株式会社金児商店)
- 佐野屋酒店(株式会社クラビシュ)
- ふたきや(株式会社ふたきや)
カード情報が漏えいしたのは、2017年3月23日~5月18日に上記のECサイトでクレジットカード決済を利用した消費者の一部。流出した情報はクレジットカード番号、有効期限、セキュリティコード。カード情報が漏えいした一部の顧客において、不正利用の被害が発生しているという。
対象の顧客に対し、情報漏えいが発生したことを8月29日にメールで通知した。
ジェネシス・イーシーによると、「Genesis-EC」を導入しているショッピングサイトは、5月18日にクレジットカード決済を停止。システムの脆弱性や管理体制の不備について、実施可能な対策を行った後、順次改修を進めているとしている。
過去の不適切なカード情報管理も判明
今回の情報漏えいでサーバを調査した際、過去にクレジットカード情報が不適切に保管されていたことも判明した。流出した可能性のあるカード情報は最大4581件という。
2009年3月以前に以下のECサイトでクレジットカード決済を利用した一部の消費者は、カード番号、有効期限、セキュリティコード、カード名義人名、電話番号が流出した可能性があるという。現時点で不正被害は確認されていないとしている。
対象サイトは次の通り。
- もぐもぐ共和国(株式会社アレルギーヘルスケア)
- 幸せの銘酒市川(有限会社市川商店)
- フォグ(有限会社フォグリネンワーク)
- テンテンの森(株式会社マルト)
- ウッドデッキ・DIYのリーベ(株式会社リーベ)
- e-たおるや.com(株式会社アンドー)
- 本間アニマルメディカルサプライ本店(ワールドワイドペットコミュニティーケーションズ有限会社)
- ICI石井スポーツ(株式会社ICI石井スポーツ)
- ファンタジーワールド(株式会社ファンタジーワールド)
- 自然食品・有機米 かねこや(株式会社金児商店)
- ナチュメディカ(西本貿易株式会社)
- チャックボックス
ECのセキュリティ対策について
経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。
カード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCI DSS準拠)を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「JavaScriptを使用した非通過型」)の決済システムの導入を促進するとしている。
また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。