新聞で「ホームセンターでクレジットカード情報が流出した」って書いてあったんだけど、大丈夫かな?
新聞を読んでいたら、身近なホームセンターの名前が出てきたので、びっくりしました。
とはいえ、これは直営のネット通販サイト(ECサイト)の話です。実店舗や楽天やYahooなどのショッピングモールサイト経由で買い物をしていたからといって、直接の関係はありません。
今回は、不正アクセスに関するニュースの「読み方」と利用者側で何ができるか、について考えてみましょう。
1. ECサイトの不正アクセスのニュース
ニュースを見ていると「カード情報と顧客の個人情報流出」という見出しが目にとまりました。
数ある情報流出でも、クレジットカード情報は深刻です。
ホームセンター経営のアヤハディオ(大津市)は1日、不正アクセスを受け、運営する通信販売サイトのクレジットカード情報110件と登録者592人の個人情報が流出した可能性があると発表した。
カード情報と顧客の個人情報流出か 大津のホームセンター経営会社|京都新聞(2021年12月1日)
「お店からクレジットカード情報が流出した」と聞くと不安になりますが、どの範囲なのかが大事です。
今回、個人情報の流出した可能性が明らかになったのは、ホームセンター アヤハディオではなく、その運営するネット通販サイト「アヤハディオネットショッピング」です。
つまり、通常の実店舗などとは別のシステムになっています。
「ECサイト(electronic commerce:電子商取引)」は、自社の商品やサービスを販売するためのインターネット通販サイトのことです。
2021年9月3日に連絡があり、情報流出の範囲は、
・クレジットカード情報 110件(2021年3月26日から2021年8月19日)
・登録者 592人(2021年4月6日まで)
ということが明らかになっています。
人数から見ると、全員ってわけではなさそうだね。
1-1. ネット通販サイトはメンテナンス中
ネット通販サイトは、現在(2021年12月3日時点) システムメンテナンスで停止しています。しかし、システムが分かれている楽天市場やYahoo!では通常通り買い物できます。
自前の通販サイトでの問題なんだね。
ネット通販サイトのトップページで、「お詫びとお知らせ(20211201.pdf)」が公開されていて、経緯が説明されています。
弊社が運営する「アヤハディオネットショッピング」への不正アクセスによる
お客様情報漏洩に関するお詫びとお知らせ1.経緯
2021 年 9 月 3 日に、本件 EC サイトの制作・保守を委託している協力会社より本件 EC サイトを利用したお客様のクレジットカード情報及び個人情報の漏洩懸念について連絡を受け、2021 年 9 月 4 日に本件 EC サイトの Web サービスを停止いたしました。その後、第三者調査機関による調査を開始いたしました。2021 年 9 月 28 日に調査機関による調査が完了し、2021 年 3 月 26 日から 2021 年 8 月 19日までの間に本件 EC サイトで購入されたお客様の一部でクレジットカード情報が漏洩した事、また、2021 年 4 月 6 日までに本件 EC サイトに登録いただいたお客様の個人情報が漏洩した可能性があることを確認いたしました。2.クレジットカード情報及び個人情報漏洩状況
(1)原因
本件 EC サイト制作・運用委託先のシステムへの第三者による不正アクセスを受け、悪性ファイルが設置されたため。(2)クレジットカード情報漏洩の可能性があるお客様
2021 年 3 月 26 日から 2021 年 8 月 19 日の期間中に本件 EC サイトにおいてクレジットカード決済をされた 110 件で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当する 110 件のお客様については、別途、書状にて個別にご連絡申し上げております(3)個人情報漏洩の可能性があるお客様
2021 年 4 月 6 日までに本件 EC サイトにおいて登録のあるお客様 592 名で、漏洩した可能性のある情報は以下のとおりです。
・姓名
・姓名カナ
・住所
・電話番号
・メールアドレス
上記に該当する 592 名のお客様については、別途、書状にて個別にご連絡申し上げております。3.お客様へのお願い
弊社が運営する「アヤハディオネットショッピング」への不正アクセスによるお客様情報漏洩に関するお詫びとお知らせ
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが、同クレジットカードの裏面に記載のカード会社へお問い合わせいただきますようお願い申し上げます。なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
セキュリティコードまで流出してしまっているのかー💦
カード情報や個人情報が流出した可能性がある利用者には、個別にも 書状でお知らせ して、クレジットカードの不正利用の監視や再発行などの手続きにも対応しているそうです。
なるほど! お知らせが来ていなければ、とりあえず安心していいんだね。
2. どのサイトでも起こりうる情報流出にどう備える?
「情報流出・情報漏洩」は、今やどのサイトでも起こることです。他人事ではありません。
一度流出してしまった情報から大きな被害につなげないために、利用者ができることは何でしょう。
基本は2つあります。
2-1. 同じパスワードを使い回さない
まず、同じパスワードを使い回さないことです。
今回は、パスワード情報が流出したわけではありませんが、パスワードが共通だと情報流出で連鎖的な被害につながってしまう危険性があります。
2-2. クレジットカードの明細アプリを活用する
もう一つは、クレジット決済をこまめにチェックすることです。不正利用を未然に防ぐことが大事です。
そのために役立つのがクレジットカードの明細アプリです。あらかじめ登録しておくと、クレジットカードの利用があったときに、すぐに確認できるようになります。
カード会社にもよりますが、だいたい翌日には通知が来ます。
さらに、ネット決済のときにも、券面裏にかかれているセキュリティコードだけでなく、ID・パスワードでのログインが必要にすることができます。2段階認証です。
つまり、クレジットカードの不正利用のハードルを上げることができます。
3. どうして情報が流出したの?
いつも不思議なんだけど、情報が漏洩していた範囲は どうやって後から調べるの?
経緯によると、「ウェブシステムが不正アクセスされて、悪性ファイルが設置されていた」というのが原因です。
原因
本件 EC サイト制作・運用委託先のシステムへの第三者による不正アクセスを受け、悪性ファイルが設置されたため。
「悪性ファイル」というものが具体的にどういうものかは、公開されている情報からはわかりません。
可能性としては、
・スパイウェアのように内部で情報を盗み見て外部に送信していた、
・外部からのアクセスを許可するような設定ファイルが設置されていたのか、
などが考えられます。
「2021年3月26日から2021年8月19日」という期間は、悪性ファイルの作成日時や、サーバの送受信の記録から割り出されています。
サーバの場合は常に動作しているので、マルウェアが入っていなくても、情報を保護する設定にちょっと問題があるだけで、情報の漏洩のリスクがあります。
3-1. ECサイト運営のリスク
個人でネットショップを運営している場合にも、教訓があります。
最近は、かんたんに「自前のネット通販サイト(ECサイト)」を開設できるようになりました。しかし、決済情報や顧客情報の管理は どのショップであっても「万全」が求められます。
「ECサイト」を運営する場合は、そのリスクも考える必要があると感じました。
個々のネットショップで、セキュリティを細かくメンテナンスするのは大変です。
手数料の面では不利ですが、既存のショッピングモールサイト(楽天市場やメルカリショップなど)に出典するほうが、セキュリティの面では安心なのかもしれませんね。
こちらもどうぞ
