ミヨシ石鹸 公式通信販売サイトが不正アクセスを受け、クレジットカード情報含む顧客情報漏洩

ミヨシ石鹸株式会社は同社の運営する公式通信販売サイト「ミヨシ石鹸 通信販売サイト(http://shop-miyoshisoap.jp/)」(以下「当サイト」といいます。)に、外部からの不正アクセスがあり、ユーザーのクレジットカード情報の一部が、外部へ流出したことが判明したとのことです。なお、同社では、すでに通信販売「ミヨシ石鹸 通信販売サイト」のクレジット決済の利用を停止しており、また、最寄りの警察署に報告し相談するとともに、原因や被害状況の詳細につき、調査を進めているとのことです。

【経緯】

2017年8月31日にクレジットカードの決済代行会社よりカード情報流出の疑いがあるとの連絡を受け、ただちに、当サイトにおけるクレジットカード決済を停止。
同時に第三者調査機関であるPayment Card Forensics(ペイメント カード フォレンジックス)株式会社(以下「PCF社」といいます。)へ調査を依頼し、不正アクセスおよび情報流出の全容解明に向けた調査を実施。

2017年10月19日、PCF社より最終調査報告書を受領し、同報告により不正アクセスによりクレジットカード情報等が流出したことが判明。

関係官庁等(個人情報保護委員会他)への報告および警察への報告・相談は既に行っております。また、既に流出した可能性のあるクレジットカード情報については、各クレジットカード会社と連携し不正利用の防止に努めております。

【漏洩した可能性のある情報】

① 対象:流出した可能性があるのは、2017年6月6日~2017年8月31日の間に、当サイトにおいてクレジットカード決済を利用したユーザー情報。
② 外部流出した可能性があるクレジットカード情報の項目は、カード会員氏名、カード番号、カード有効期限、セキュリティコード。
※ パスワードは含まれておりません。
件数:最大392件

【原因】

当サイトのウェブサーバーへの外部からの不正アクセス

同社によると、事故発生確認から発表まで時間を要したことについて以下のように述べています。

『2017年8月31日の流出懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫びを申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。今回の発表までお時間を頂きましたことを、重ねてお詫び申し上げます。』

最近は情報漏洩の発表は事故発生確認後、すぐに一次発表する傾向にありますが、上記にあるようにクレジットカード情報が含まれている場合は、決済代行会社との話し合いで調査確認後にある場合もあるようです。しかし、弊社ではこれはお勧めしません。なぜなら、被害にあったユーザーはその間、不審なカード決済に気が付かない恐れもあり、さらに被害を大きくする恐れがあるばかりか、結局ユーザーの不振を買うことになると思うからです。それにしてもまだ、クレジットカード情報を保有する運営をしているコマースサイトが多いことに驚きます。日本カード情報セキュリティ協議会(JCDSC)が策定しているカード業界のセキュリティ基準であるPCI DSSに準拠した、カード情報の非保持化は常識になりつつあります。対応していない古いサイトはまず対応することを検討することをお勧めいたします。

詳細;ミヨシ石鹸株式会社

関連;最適な総合サイバーセキュリティ対策を構築します『サイバーセキュリティ対策サービス』

<