瀧川 正実 2017/11/20 6:00

バイオ技術を活用した植物活力液や健康食品などの製造・販売を手がけるフローラの通販サイト「HB-101ネットショップ本店サイト」で、クレジットカード番号やセキュリティコードを含むカード情報が最大635件が漏えいした可能性があることが11月16日にわかった。

通販サイトシステムで使用しているソフトウェアの脆弱(ぜいじゃく)性を、外部からの不正アクセスによって突かれたたことが原因という。

漏えいした可能性があるカード情報は、ローマ字氏名、カード番号、有効期限、セキュリティコード。

「HB-101ネットショップ本店サイト」で、2017年4月22日から5月22日の間にクレジットカードで買い物した顧客が対象。

バイオ技術を活用した植物活力液や健康食品などの製造・販売を手がけるフローラの通販サイト「HB-101ネットショップ本店サイト」で、クレジットカード番号やセキュリティコードを含むカード情報が最大635件が漏えいした可能性

ECサイトでは経緯の報告とお詫び文を掲載している(画像は編集部がキャプチャ)

フローラは個人情報保護委員会、所轄警察署へ報告。また、調査を依頼した第三者調査期間の調査結果をクレジットカード会社に報告している。

セキュリティ専門会社のアドバイスのもと、再発防止策として次の4点を実施していくという。

Webサイト、Webサーバを新システムに移行
新システムの運用業者を一元化
第三者機関による脆弱(ぜいじゃく)性検査を定期的に実施
社員教育を通じてセキュリティ保全体制を徹底

なお、本店ECサイトは11月15日に刷新。新システムへの移行によって、「住所情報」「ご注文履歴、ログインIDやパスワード」は継続利用できなくした。

EC業界におけるセキュリティ対策について

経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCI DSS準拠)を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「JavaScriptを使用した非通過型」)の決済システムの導入を促進するとしている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。

この記事が役に立ったらシェア!
これは広告です

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
ecbeing.
[スポンサー]