大麦製品のECサイトでカード情報2.4万件が漏えいか。セキュリティコードも流出の恐れ

大麦製品のECサイト「大麦工房ロアオンラインショップ」（運営は大麦工房ロア）で、クレジットカード情報が最大で2万4780件流出した可能性があることがわかった。

調査会社による調査では、不正アクセス直接的な証跡は発見されていないものの、カード情報が抜き取られた可能性は否定できないため、12月25日に情報の漏えいの疑いについて公表。

大麦工房ロアは外部からの不正アクセスと推察しているが、侵入経路や手段は判明していないという。

流出した可能性がある対象は、2015年10月1日から2017年8月7日の間に「大麦工房ロアオンラインショップ」において、カード決済を新規利用した顧客情報。

氏名、カード番号、有効期限、セキュリティコードが流出した可能性がある。

2017年8月7日、クレジットカード会社から決済代行会社を通じてECサイトを利用した消費者のカード情報の流出懸念について連絡があり、ECサイトを閉鎖。専門調査会社Payment Card Forensics（PCF社）に調査を依頼した。

9月30日に最終調査報告書を受領。不正アクセスの直接的な証跡は発見できなかったという。

なお、大麦工房ロアでは漏えいの懸念が伝えられた後、直ちに次の対応を行った。

• 「大麦工房ロアオンラインショップ」の閉鎖
• 不正アクセスの監視強化
• クレジットカード会社に対する不正利用モニタリングの実施要請
• 関係官庁（個人情報保護委員会他）への報告
• 警察への被害の申告および相談

なお、12月27日現在もECサイトは閉鎖中。セキュリティ専門会社のアドバイスの下、ECサイトのセキュリティ強化、チェック機能の強化を実施していくという。なお、ECサイトでは次の対策を行うとしている。

• 「PCI DSS3.2」に準拠した安全なシステムへの改善（決済代行会社が提供するリンク型システムへの移行）
• 脆弱（ぜいじゃく）性対策として、プログラムの修正などの適切な対処を継続して実施

EC業界におけるセキュリティ対策について

経済産業省主導の「クレジット取引セキュリティ対策協議会」（事務局は日本クレジット協会）は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面（EC）加盟店については原則として非保持化（保持する場合はPCI DSS準拠）を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP（決済代行会社）が提供するカード情報の非通過型（「リダイレクト（リンク）型」または「JavaScriptを使用した非通過型」）の決済システムの導入を促進するとしている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。