渡部 和章 2019/1/8 9:00

ディー・エル・マーケットは12月25日、デジタルコンテンツ販売サイト「DLmarket」から顧客のクレジットカード情報が最大7741件流出した可能性があると発表した。サーバーへの不正アクセスにより、顧客が偽の決済フォームに誘導され、カード情報を不正に取得されたという。

情報漏えいの対象は、2018年10月17日~11月12日の間にクレジットカード決済を利用した顧客の一部。

クレジットカードの名義人、カード番号、有効期限、セキュリティコードが流出した可能性がある。

決済が成立し、カード情報が流出した可能性があると判断された件数は最大7741件。このほか、決済は成立していないものの、偽の決済フォームに誘導された可能性があるのは最大903件という。

2018年10月17日、サーバーの不具合を受けてディー・エル・マーケットが調査を行ったところ、管理画面への不正アクセスによって、顧客情報の一部(メールアドレス・氏名・会員ID)が流出している可能性が発覚した。

10月22日、不正アクセスを受けて顧客情報が流出した可能性があることを公表。その後、11月12日に決済代行会社からカード情報が流出した可能性があると指摘を受けたという。カード決済とサイトの運営を停止し、実態の把握と原因究明を進め、12月25日にカード情報が漏えいした可能性を公表した。

ディー・エル・マーケットは現在、原因究明のため内部調査に加えて専門・中立的な外部の調査会社に依頼し、調査を進めているという。調査結果を踏まえて再発防止に必要なセキュリティ対策を講じるとしている。セキュリティ対策の完了後、サービスを再開する。

ディー・エル・マーケットはオールアバウトの100%子会社。「DLmarket」は2006年11月に開始した。

EC業界におけるセキュリティ対策について

経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCI DSS準拠)を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「JavaScriptを使用した非通過型」)の決済システムの導入を促進するとしている。

2018年6月1日に施行された「割賦販売法の一部を改正する法律(改正割賦販売法)」では、クレジットカードを取り扱うEC事業者などに対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。

この記事が役に立ったらシェア!
これは広告です

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
ecbeing.
[スポンサー]