印刷通販サイト「バンフーオンラインショップ」不正アクセスを受け情報漏えいの可能性

印刷通販サイト「バンフーオンラインショップ」が不正アクセスを受け、サイトを利用したことのある顧客データが情報漏えいした可能性があると報告した。

※写真は「株式会社帆風」が運営する「バンフーオンラインショップ」

◆漏えいした可能性ある情報は以下

・氏名/住所/電話番号 /生年月日/勤務先 /メールアドレス /暗号化されたログインパスワード /本人確認の質問と回答 /購入履歴 /クレジットカード情報(※ただし2016年9月17日から11月28日までの間にクレジットカード決済した場合に限る)(※名義、有効期限、セキュリティコードが含まれる)最大で835名分

◆漏えいした件数は1万6084件 発覚した経緯は外部からの連絡で決済代行会社からの通知だったとのこと。 同社では対象となる顧客にメールと書面で報告を行うとしている。

◆詳細;vanfu

さて今回、どのようにして不正アクセスを受け、顧客情報漏えいに至ったのか、同社のサイトに記載されたニュースリリースから読み取って見るとまず「当サイトのプログラムに脆弱性があった」と記載しています。典型的なWebサイトアプリケーションの脆弱性を突かれた形と思われます。具体的な攻撃手段までは記載していないのでわからないが、多いのは注文や問い合わせなど、フォームを利用するアプリケーションに脆弱性があり、不正なプログラムを仕込まれた可能性や、サイトそのものに脆弱性があり、顧客が買い物をしてクレジットカード番号などを登録しようとするといつの間にか攻撃者が用意したフィッシングサイト画面に誘導された可能性など複数考えられます。

このような個人情報が漏えいした場合は真っ先に、登録したクレジットカードでの身に覚えのない決済に使われることを心配しますが、同時にID、パスワードも盗まれていることから、他サイトや、インターネットバンキングなどを利用している方は、認証情報が同じものでないかも心配すべきです。特にインターネットバンキングで盗まれたID、パスワードで不正送金被害にあった場合、基本的には個人は保証されているとはいえ、あくまでも個人に落ち度がない場合のお話し。他サイトと同じパスワードを使いまわしていたりした場合は100%保証されない可能性もあります。

弊社ではWebサイトの脆弱性診断を行っています。少し心配だな、という企業様はぜひ、この機会に受けてみてはいかがでしょうか。

Web脆弱性診断サービス

<