ECカートからカード情報が漏えい、カラミーショップ利用企業と消費者の情報が流出か

GMOペパボは1月26日、ASPショッピングカート「カラーミーショップ」が外部から不正アクセスを受け、サービスを利用しているEC事業者や、ECサイトで買い物をした消費者のクレジッットカード情報などが流出した可能性があると発表した。

1月26日時点で流出したのはショップオーナーのクレジットカード22件。漏えいしたのはカード番号のみ。

一方、流出した可能性がある「カラーミーショップ」利用企業のカード情報は9430件にのぼる。クレジットカード番号や有効期限、名義人名、セキュリティーコードが対象となっているのは最大7259件。

クレジットカード番号、有効期限、名義人名が流出した可能性があるのは最大337件。カード番号、有効期限のみは最大1834件。

また、カード情報以外では、ログインIDや住所、氏名、電話番号などが最大7万7385件流出した可能性がある。

「カラーミーショップ」を利用しているECサイトで買い物をした消費者のクレジットカード情報は、最大2711件が流出した可能性があるという。セキュリティコードが漏えい対象となっている件数は最大485件。

情報流出の経緯と対策

2018年1月7日、「カラーミーショップ」のアプリケーションの機能を悪用した不正アクセスが発生。同日中に不正プログラムが実行されないよう回収を実施し、緊急対策本部を設置した。

翌日、外部のセキュリティ専門機関に調査を依頼。流出した情報の内容が1月10日に判明したことから、クレジットカード各社への報告や、渋谷警察署への相談、セキュリティ専門機関2社によるフォレンジック調査を開始した。

1月25日、フォレンジック調査の結果を受けて被害状況が判明。1月26日に佐藤健太郎社長を委員長とする再発防止委員会を設置した。

再発防止委員会は次の3つの役割を担う。

1. 本件の不正アクセスや情報流出の可能性に関し、システム開発および運用の検証を行う
2. システム全般のセキュリティレベルを向上させるため、専門家アドバイザーの知見・経験に基づき、再発防止策を立案する
3. 再発防止策の実施とモニタリングを行い、継続的な改善や一層のセキュリティレベルの向上に努める