ホテル予約システムに不正アクセス、宿泊施設からカード情報など流出
ホテル予約システムを提供するファストブッキングは6月26日、サーバが不正アクセスを受け、同社のシステムを使う国内宿泊施設の利用客に関する個人情報や暗号化されたクレジットカード情報などが流出したと発表した。
不正アクセスが発生したのは6月15日と6月17日。15日の不正アクセスでは、国内380の宿泊施設の暗号化されていない個人情報(顧客の氏名、国籍、電話番号、住所、メールアドレス、予約金額、予約番号、予約ホテル名、チェックイン日、チェックアウト日)が流出した。
17日の不正アクセスでは、国内189の宿泊施設において、暗号化された情報(クレジットカード名義人氏名、クレジットカード番号、クレジットカード有効期限)が流出したという。
ファストブッキングによると、発表日時点で不正アクセスモードは修正済みで、システムのより強固なセキュリティ確保に向け、第三者科学捜査専門家とともに調査を進めている。
また、影響があった宿泊施設やクレジットカード会社と連携し、該当するユーザーと関係者に対し対応と支援を提供しているという。
ファストブッキングのフィリップ・ラマルシュ最高経営責任者は企業サイトで次のようにコメントしている。
この度、当社サーバーに対する不正アクセスにより影響のありましたパートナーの皆さまをはじめお客様には、多大なご迷惑をおかけいたしましたことを深くお詫び申し上げます。ファストブッキングはお客様の個人情報保護に真剣に取り組んでおり、この度、第三者専門家によるシステムの追加検証およびストレステストを実施し、サイバー攻撃を防ぐより強化したセキュリティ対策を講じております。
EC業界におけるセキュリティ対策について
経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。
カード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCI DSS準拠)を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「JavaScriptを使用した非通過型」)の決済システムの導入を促進するとしている。
2018年6月1日に施行された「割賦販売法の一部を改正する法律(改正割賦販売法)」では、クレジットカードを取り扱うEC事業者などに対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられている。
また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。