【注意・確認】「ECカレント」「イーベスト」「特価COM」不正アクセスによる情報漏洩

  • 投稿日:
  • Category:

本サイトでも時折商品紹介している、通販サイトのECカレントイーベスト特価COMにおいて、不正アクセスが行われ情報漏洩が確認されたと報道されています。

漏洩が確認された情報は以下の3点。なお、すでに不正利用も1件確認されているとのこと。

  • ショップ利用(注文)顧客の氏名、メールアドレス、クレジットカード情報
    (2013年9月28日から12月8日の期間に商品を購入した顧客の決済情報)

上記3ショップの運営会社である、株式会社ストリームからの発表は以下。

発見から対応・発表までの流れ(の個人的なまとめ)は以下の通り。

  • 2013年11月 某日:クレジットカード会社からカード不正利用被害の通報を受けて調査
  • 2013年12月18日:外部のセキュリティ業者とともに不正閲覧の原因を除去し、システム上の対策を実施
    (この時点で未発表。なお、1週間後の12月26日には株式分割などのIR情報発表)
  • 2014年 1月30日:不正アクセス被害のニュース発表(47NEWSおよびNHK NEWSが第一報?)
    (記事には「利用者に注意を呼びかけている」となっているがこの時点で、株式会社ストリームからはまだ未発表)
  • 2014年 1月31日昼頃:株式会社ストリームトップページおよびIRページに情報掲載
    (各ショップ上では情報掲載無し)
  • 1月31日午後:イーベストおよび特価COMのトップページにお詫びが掲載
    (それぞれ、PDFファイルへのリンクの形で掲載)
    ECカレントのお詫びは無し。ただし、楽天市場店Yahoo!ショッピング店は閉鎖されていた。
     →その後、Yahoo!ショッピング店は運営を再開している
  • 1月31日19時頃:ECカレントTwitterアカウントで情報発信
    (諸々指摘は受けていたが「コンプライアンスの都合上返答ができなかった」とのこと)

本件に関する今後の問い合わせ等は2月3日に開設される特設センター(電話のみ?URLなどは現時点で不明)で対応するとのこと。

なお、1月31日 23:55現在、ECカレントショップ上では本件に関する情報記載無し(PDFファイルはあるのにリンクされていない)。一見してYahoo!ショッピング店もあわせ、通常運用しているように見受けられます。なぜでしょうか。

 

以下は個人的な印象です。

具体的な攻撃手法は示されていませんが、情報閲覧ということで個人的にはSQLインジェクションあたりではないかと推測されますが、詳細は不明。

ただし、特に気になるのが、2013年12月18日時点でシステム上の対策を実施済みであり、本件を発表しても十分な対応が行える状況にあったはずだという点。決算発表や、株式分割実行、株式第3者割り当ての実施など2014年1月29日に実行される重要なIR情報を済ました後の発表となり、ショップ利用ユーザ軽視による発表の遅れがあった感は拭えません。

今後についてはクレジットカードデータを保持しない決済手段の導入を進めるとともに、PCIDSS準拠の認定を3月5日に予定しているらしいですが、その情報を記載する前にやるべきことがあると思うんですが・・。

経緯こそわかりませんが、ニュースサイトへの掲載が先行し、情報漏洩の憂き目にあっているユーザへの連絡が遅れている印象も受けます。

対応を行う特設センターも週明け設置ですし・・NHK NEWSで記載されているような

「サイトを利用したすべての顧客に対し、メールで注意を呼びかけるとともに、希望者にはクレジットカードの交換にかかる費用を負担するとしています。」

について、情報漏洩対象者にはメールが送信されている模様ですが、今回の漏洩対象ではないショップ利用者に対してはメールが送られている気配が無い点が気になります。(個人的に被害対象期間外ではありますが、今回の3ショップ全ての利用経験者です。どこからもメールなどは来てません)

株式会社ストリームは会社運営もここ2年赤字続き(売上高は2011年1月期がピーク。2012年1月期に当期純利益が赤字転落。2013年1月期は12億3700万円の当期純損失を計上)ですし、いろいろと挽回して貰いたいところ。

コメントする