ECサイトへの不正アクセスで相次ぐカード情報の漏えい

ECサイトが不正アクセスを受け、顧客情報やクレジットカード情報が漏えいする事件が相次いでいる。

8月に入って通販大手のJIMOSや美容健康商品を販売しているドリーム、耐熱ガラス製品の製造販売を手がけるHARIO、蕎麦屋チェーンの小嶋屋総本店が、不正アクセスによって顧客情報が漏えいしたと発表。4社とも被害を受けたECサイトを休止している（9月2日時点）。

ドリームのECサイトからカード番号など漏えい

美容健康関連を販売するドリームは8月8日、「プロイデア直営ショップ」から顧客のクレジットカード情報が流出したと発表。ショッピングカートシステムの脆弱（ぜいじゃく）性を利用した攻撃によって、カード情報を抜き取られたとみられるという。

漏えいしたのはカード番号、名義人の氏名、有効期限、セキュリティーコードなど291件。2018年9月25日から2019年4月26日までに、カード決済を行なった顧客が対象。

JIMOSが「マキアレイベル」など一時休止

JIMOSは8月22日、「マキアレイベル」「Coyori」「代謝生活 CLUB」のECサイトで使用しているサーバーが不正アクセスを受け、顧客情報の一部が流出した可能性があると発表した。公式サイトの運営を一時休止している。

HARIO、小嶋屋総本店も不正アクセスの被害

耐熱ガラスメーカーのHARIOは8月20日、「HARIOネットショップ」が不正アクセスを受け、クレジットカード情報2577件と、会員のログイン用メールアドレス・パスワード2325件が流出した可能性があると発表した。

カード番号、名義人の氏名、有効期限、セキュリティーコードが漏えいした可能性がある。2018年11月23日から2019年5月8日に「HARIOネットショップ」でカード決済で買い物をした顧客が対象。

新潟県で蕎麦屋チェーンを展開する小嶋屋総本店は8月22日、「小嶋屋総本店ショッピングサイト」から顧客の氏名やクレジットカード番号、カード有効期限など最大8109件が漏えいした可能性があると発表。2015年12月9日から2019年4月15日までに、Webアプリケーションの脆弱性を利用した攻撃を受け、会員データなどが抜き取られた可能性があるという。

EC業界におけるセキュリティ対策について

経済産業省主導の「クレジット取引セキュリティ対策協議会」（事務局は日本クレジット協会）は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面（EC）加盟店については原則として非保持化（保持する場合はPCI DSS準拠）を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP（決済代行会社）が提供するカード情報の非通過型（「リダイレクト（リンク）型」または「JavaScriptを使用した非通過型」）の決済システムの導入を促進するとしている。

2018年6月1日に施行された「割賦販売法の一部を改正する法律（改正割賦販売法）」では、クレジットカードを取り扱うEC事業者などに対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。