- クレジットカード情報が流出したため、楽天カードから再発行の案内が届きました。
- 会員ページのチャットサポートから再発行の手続きをすると、5日のうちに新しいカードが届きました。
- 原因は通販サイトに仕掛けられた不正なスクリプトによって、約3年間にわたりカード情報が外部に送信されていたためです。
1. 「クレジットカードの作り直しに関するお願い」が届いた
楽天カードから郵送で「クレジットカードの作り直しに関するお願い」という書類が届きました。
通販サイトでカード情報が流出し、作り直さないといけなくなったようです。
文面には、
- 作り直し対象のカード番号・名義
- 情報流出対象店舗名・URL
「カード会員規約第19条第6項」には、「悪用被害を回避するために、当社が必要と認めた場合、会員はカードの差替に協力するものとします」1」という規定があります。
「ECサイト」は、ネット通販のサイトのことです。
「EC」は、「Electronic Commerse(電子商取引)」の略です。
2. 楽天カードの会員サイトでチャットサポートを利用する
さっそく、楽天カードの会員サイトで手続きをします。
裏面を見ると、「チャットサポートページ」と「よくある質問」にアクセスするためのQRコードがあります。
「チャットサポートページ」にアクセスするには、楽天会員のログインが必要です。
ログインすると「問い合わせを開始する」ボタンがあります。
2-1. 【補足】会員サイトの2つのチャットサポート
ちなみに、楽天カードの会員サイト(楽天e-NAVI)にはチャットが2種類あります。
オペレーター対応のある「チャットサポート」は、ページの下にあるリンクを何回かたどっていく必要があります。
「問い合わせを開始する」ボタンを押すと、チャット画面が始まります。
営業時間は、9:30〜25:30なんだね。
2-2. 情報流出懸念のカード差し替え専用窓口
「チャット」と言っても、まず自動応答で窓口が振り分けられます。
表示される選択肢をクリックしていきます。
「情報流出のお知らせ」の場合は、「カードの紛失・盗難」のメニューの中にある「お客様情報流出懸念」という項目を選びます。
これで、「『お客様情報流出懸念のカード差し替え』専用窓口」とのチャットが始まります。
本チャットは、『お客様情報流出懸念のカード差し替え』専用窓口です。
上記以外のお問い合わせはお答えいたしかねますので、あらかじめご了承ください。
また、楽天e-NAVIにご登録のないカードについてはお受付できない可能性がございますのでご了承ください。
- 楽天カード チャットサポート
- 楽天カードチャットサービス
お問い合わせ内容に応じて、担当のオペレーターがご案内いたします。
以下の質問にご回答ください。
※一部お問い合わせは、オペレーター接続前に自動応答チャットにてお手続きが完了いたします。
午前 10:38 - ご契約内容の確認のため、以下より該当するものをご選択ください。
契約者ご本人様
家族カード会員ご本人様
上記いずれも該当しない
契約者ご本人様
午前 10:38 - 楽天カードチャットサービス
【注意事項】
1.クレジットカード番号の聞き取り
チャットサポートではクレジットカード番号全桁を聞き取ることはございません。
誤ってご入力されないようご注意ください。
※カード番号下4桁の聞き取りを行う場合はございます。
午前 10:38 - 楽天カードチャットサービス
2.キャッシング機能
キャッシング機能に関するお問い合わせは、貸金業法に抵触する可能性がある場合、お答えできません。
午前 10:38 - 楽天カードチャットサービス
3.お問い合わせ内容
チャットサポートでは以下のお問い合わせのみ受付しております。
その他のお問い合わせはお答えいたしかねますので、あらかじめご了承ください。
午前 10:38 - 上記をご参照いただき、お問い合わせ内容のカテゴリをご選択ください。
※画像をクリックもしくはタップすると、画像が拡大されます。
よくあるお問い合わせ
カードの紛失・盗難
カードご利用関連
お支払い関連
各種照会
各種変更
キャンペーン・ポイント関連
カードの発行状況やお届けに関するお問い合わせ
メニュー画像を再表示する
カードの紛失・盗難
午前 10:39 - カード紛失・盗難
停止済みカードの再発行
前に戻る
午前 10:39 - お持ちのカードについての状況をお知らせください。
※停止済みのカードをお持ちで再発行をご希望の方は「既に停止済(再発行のみ希望)」よりお進みください。
カードの紛失
カードの盗難
不正使用懸念
既に停止済(再発行のみ希望)
お客様情報流出懸念
午前 10:40
2-3. カード停止・再発行の同意手続き
「カード停止と作り直し」の手続きも、選択肢を選びながら進んでいきます。
作り直しにかかる期間の説明などに同意し、カード番号の下4桁を入力します。
楽天カードチャットサービス
本チャットは、『お客様情報流出懸念のカード差し替え』専用窓口です。
上記以外のお問い合わせはお答えいたしかねますので、あらかじめご了承ください。
また、楽天e-NAVIにご登録のないカードについてはお受付できない可能性がございますのでご了承ください。
午前 10:40
同意する
午前 10:40
弊社から「クレジットカード再発行(カード番号変更)のお願い」のメール/SMS等を受信した場合、お客様のクレジットカード情報等が流出した可能性がございます。
今後第三者が不正使用する可能性が非常に高いため、カード会員規約第19条6項に基づきクレジットカードの差し替え(カード番号変更を伴う作り直し)手続きをお願いしております。
この度のお問い合わせについて、ご希望の処理を伺えますでしょうか。
新しいカード番号への差し替え(停止および作り直し)
既に停止済カードの差し替え(作り直しのみ)
新しいカード番号への差し替え(停止および作り直し)
午前 10:41
楽天カードチャットサービス
新しいカード番号への作り直しの際は
カード停止のうえ再発行の処理をさせていただきます。
※新しいカードのお届けには、通常10日から2週間ほどほどかかります。
また、ゴールデンウィークや年末年始は、通常よりお時間をいただく場合がございますのであらかじめご了承ください。
午前 10:41
楽天カードチャットサービス
本チャットは家族カード会員様から親会員様のカードのお問い合わせにはご対応ができかねます。
大変お手数ではございますが、親会員様のカードのお問い合わせにつきましては親会員様ご本人よりお願いいたします。
午前 10:42
楽天カードチャットサービス
契約者ご本人様からのお問い合わせ、もしくは家族カード会員ご本人様からのお問い合せの場合は、下記に同意をお願いいたします。
午前 10:42
再発行をご希望のカード番号下4桁をお知らせください。
※カード番号下4桁は楽天e-NAVIよりご確認いただけます。パソコンの場合はトップページより、スマートフォンの場合は画面右上の「表示中のカード」をご選択の上ご確認ください。
楽天e-NAVIはこちら
楽天カードチャットサービス
●ご入力内容に誤りがある場合、対象外のカード番号下4桁をご入力された場合は再発行ができませんので、あらかじめご了承ください。
・複数枚のカードの再発行をご希望の場合は、今回のお手続き完了後、お手数ですが再度再発行の手続きをお願いいたします。
午前 10:42
楽天カードチャットサービス
ご入力いただきありがとうございます。
カード番号下4桁: ####
上記内容にて入力を確認いたしました。
午前 10:43
楽天カードチャットサービス
申し訳ございませんが、本チャットでは
下記のカードのお受け付けはできません。
お問い合わせをいただきましてもご対応ができかねます。
あらかじめご了承ください。
・楽天銀行カード
・ETCカード
※「楽天銀行カード」は楽天カードが提供するクレジット機能と楽天銀行のキャッシュカードが一体となったクレジット機能付きキャッシュカードです。
お問い合わせご希望のカードをご選択ください。
※楽天カードは楽天PINKカード・楽天ゴールドカード・楽天プレミアムカード等を含む楽天銀行カード以外のクレジットカードを指します。
楽天カード
楽天銀行カード
ETCカード
楽天カード
午前 10:43
「確認事項」が全部で10項目あり、1/10から10/10まで同意しながら進んでいきます。
- 楽天カードチャットサービス
お知らせいただきありがとうございます。
これよりカードの停止および再発行におけるご確認事項をご案内いたします。
午前 10:43 - 【ご確認事項1/10:カードの送付先について】
現在ログイン中の楽天e-NAVIにご登録の住所(家族カードについては親会員様の楽天e-NAVIに登録の住所)にカードを送付いたします。
※楽天ビジネスカードの場合は、ご登録の勤務先の住所に再送付いたします
ご登録の情報が正しくない・変更がある場合は、本チャットでは再発行の受け付けができません。
※新しいカードは転送不可の郵便物でお送りいたします。
転送届を出されていてもお届けができませんので、あらかじめご了承ください。
下記リンクより、ご住所ならびにご勤務先やご年収情報等にご変更がないかご確認ください。
…全体見る
ご登録情報の確認
今一度上記のリンクより、ご登録の情報をご確認いただきますようお願いいたします。
ご登録の情報について、ご確認いただいた結果をご選択ください。
変更あり
変更なし
午前 10:44 - 楽天カードチャットサービス
お知らせいただきありがとうございます。
午前 10:44 - 楽天カードチャットサービス
【ご確認事項2/10:ご登録情報に不備があった場合について】
万が一、ご登録情報の不備などで再発行ができない際も不正使用防止のため、カードの停止のみ手続きさせていただく場合がございます。
停止処理のみをした場合、ご登録のメールアドレスにご連絡をさせていただきます。
午前 10:44 - 楽天カードチャットサービス
【ご確認事項3/10:ご連絡について】
■停止および再発行の受付完了後、何らかの事由により手続きが完了できなかった場合のみ、3営業日以内に楽天e-NAVIにご登録のメールアドレスに下記メールをお送りいたします。
■カードの停止処理のみをした場合
『カードの停止完了 および 再発行の手続き不可 のご案内』
■カードの停止および再発行が完了できなかった場合
『カードの停止不可 および 再発行の手続き不可 のご案内』
※確認事項がある場合、ご登録のお電話番号にご連絡させていただくことがございます。
■メールを受け取った場合は、内容をご確認のうえ、再度チャットもしくはお電話にてお問い合せください。
…全体見る
午前 10:44 - ※ご登録のメールアドレスに誤りがある場合や迷惑メール設定をされている場合、楽天カードからのメールをお届けできない可能性があります。
必ず楽天e-NAVIの登録情報をご確認・ご変更いただくようお願いいたします。
メールアドレスの確認
同意する
午前 10:45 - 楽天カードチャットサービス
【ご確認事項4/10:継続的な決済のカード登録情報について】
恐れ入りますが、カードの停止及びカード番号を変更させていただいた上でのお作り直しとなります。
通信料金・生命保険・公共料金などの継続的なお支払いに楽天カードをご登録いただいている場合、カード番号や有効期限の変更などのお手続きが必要な場合がございます。
お手数ですがお客様自身にて、ご登録各社へカード情報変更のご連絡をお願いいたします。
午前 10:45 - 楽天カードチャットサービス
【ご確認事項5/10:カードの審査およびお届け期間について】
■カードのお届けは本チャットでの受付後、審査の上通常10日から2週間ほどかかります。
※ゴールデンウィークや年末年始は、通常よりお時間をいただく場合がございます。
※カードのお作り直しには、事前に審査がございます。審査の結果、ご希望に添いかねる可能性もございますので、あらかじめご了承ください。
午前 10:45 - 【ご確認事項6/10:楽天Edyについて】
※停止済のカードにEdy機能が付帯している場合
■新しいカードのEdy番号は停止済のカードのEdy番号から変更となります。
■Edy残高の移行につきましては、下記リンクをご確認ください。
(残高移行サービスがご利用いただけない場合は、お手数ですが残高の使い切り後に破棄をお願いいたします。)
■Edyオートチャージ設定済みのお客様は、オートチャージ設定解除後に残高の使い切りをお願いいたします。
■楽天Edyの返金申し出にはご対応いたしかねます。
…全体見る
楽天Edy残高移行サービス
楽天Edyオートチャージ解除方法
同意する
午前 10:45 - 楽天カードチャットサービス
【ご確認事項7/10:楽天ポイントについて】
貯まった楽天ポイントの残高はそのまま継続して楽天市場等の楽天グループ内サービスでご利用いただけます。
※お手元のカード裏面に付帯している楽天ポイントカード機能は、ご利用いただけなくなります。
午前 10:45 - 楽天カードチャットサービス
【ご確認事項8/10:付帯しているカードについて】
下記カードをご契約されている場合、同時に再発行をする必要はございません。
現在お持ちのカードを今後も引き続きご利用いただけますが、再発行する新しいカードがお手元に届くまでは一時的にご利用いただけません。
それまで保管をお願いいたします。
・家族カード
・ETCカード
・プライオリティ・パス
・ビジネスカード
簡略表示
午前 10:46 - 楽天カードチャットサービス
【ご確認事項9/10:更新カードについて】
更新カードが発行中のお客様の場合、再発行対象のカードと同様の番号で新しい有効期限が記載されているカードがお届けとなりますが、そちらはご利用いただけません。
受領された場合は磁気部分をハサミで切って破棄していただきますようお願いします。
午前 10:46 - 楽天カードチャットサービス
【ご確認事項10/10:カード別付帯サービスについての注意事項】
楽天PINKカードをご契約のお客様
再発行が完了するまでは楽天e-NAVIの右上にあるピンクカードサービスボタンを押さないようにお願いいたします。
楽天ANAマイレージクラブカードをご契約のお客様
ANAマイルは再発行したカードがお手元に届くまではご利用いただけません。
※マイレージのお客様番号は変わりますが、マイル・ANAマイレージクラブのパスワードはそのままとなります。
午前 10:46
2-4. カードの作り直しの最終確認
10項目の確認事項に同意すると、最終確認です。
お知らせいただきありがとうございます。
それでは、カードの再発行を受け付けいたします。[□ 同意する]
- 楽天カードチャットサービス
お知らせいただきありがとうございます。
それでは、カードの再発行を受け付けいたします。
午前 10:46 - 楽天カードチャットサービス
カード再発行のお申し込みを受け付けいたしました。
再度ご確認事項についてご案内いたします。
■カードのお届けは、本チャットでの受け付け後、審査の上通常10日から2週間ほどかかります。
(※ゴールデンウィークや年末年始は、通常よりお時間をいただく場合がございます。)
■楽天e-NAVIにご登録の、契約者ご本人様の住所(家族カードについては親会員様の楽天e-NAVIにご登録の住所)にお送りします。
(※住所が正しくない場合、カードをお届けすることができません。)
■万が一、ご登録情報の不備などで再発行ができない際も不正使用防止のため、カードの停止のみ手続きさせていただく場合がございます。
簡略表示
午前 10:46 - 楽天カードチャットサービス
■再発行の手続き完了後、何らかの事由により手続きが受け付けできなかった場合のみ3営業日以内に楽天e-NAVIにご登録のメールアドレスに下記メールをお送りいたします。
■カードの停止処理のみをした場合
『カードの停止完了 および 再発行の手続き不可 のご案内』
■カードの停止および再発行が完了できなかった場合
『カードの停止不可 および 再発行の手続き不可 のご案内』
※確認事項がある場合、ご登録のお電話番号にご連絡させていただくことがございます。
※メールを受け取った場合は、内容をご確認のうえ再度チャットもしくはお電話にてお問い合わせをお願いいたします。
簡略表示
午前 10:46 - 楽天カードチャットサービス
このたびは、カードの停止および再発行に関してお問い合わせいただきありがとうございました。
大変お手数でございますが、右上の終了ボタンよりチャットを終了してください。
(識別コード:J-014)
午前 10:46
あとは、新しいカードが届いたら、定期支払いで利用している全部のサイトで、一つ一つ支払い情報を更新していく必要があります。
2-5. 【追記】5日でカードが郵送されてきた
カードの作り直しの手続きをしたのが11月18日(月)でしたが、11月21日(木)に「本人認証サービスにご登録中のカード番号変更のお知らせ」と「新しいカードに関するお知らせと注意事項」というメールが届きました。
また、22日(金)には実際にカードが郵送されてきました。
同封された「カード発行のご案内」を見ると発行日は「11月20日」になっていました。
翌々日には再発行して、郵送してくれていたんですね。
たまたま月曜の午前中に手続きをしたので、最短で金曜に届きました。
3. どうして情報流出が起こった?
いったいどこからクレジットカード情報が流出したの?
書類にある情報流出対象店舗のURLを見てみました。
すると、ネットショップのクレジットカード情報・個人情報漏えいに関するお知らせが掲載されていました。
流出した情報には、名前や住所、電話番号に加え、クレジットカード番号やセキュリティコードなども含まれていたようです。
情報流出の中では、最悪の部類だね。
不正利用防止のために、クレジットカードの「3Dセキュア」を有効しておくことが大事ですね。
3-1. 独自のネットショップだけが関係
注意が必要なのは、どこから情報が抜き取られたか、ということ。
今回のケースでは、実店舗やAmazonや楽天市場などでの買い物は関係がありません。
大手の通販サイトに比べると、企業ごとの独自のネットショップはセキュリティが弱いため狙われやすい傾向があります。
今はかんたんにネットショップを作ることができるけど、安全に運営するのはやっぱり難しいよね。
3-2. クロスサイトスクリプティング攻撃
クレジットカード情報はネットショップの顧客情報にあったの?
実は、今回の事件では、ネットショップのデータベースから直接 情報流出したわけではありません。
攻撃者は、ネットショップの注文ページの中に、不正なスクリプト(プログラムコード)を仕掛け、入力された情報を外部送信していたのです。
原因
弊社ECサイトのシステムの一部の脆弱性を利用するために第三者が2021年2月21日から2021年2月24日にかけて不正注文を行い、注文データの参照が行われたことを起点として不正なスクリプトが実行されたと考えられます。
このような手法は一般的に「クロスサイトスクリプティング(XSS)攻撃」と呼ばれます。
「クロスサイトスクリプティング(XSS:Cross Site Scripting)」は、ウェブサイトの脆弱性を悪用して、ページのHTMLに悪質なスクリプトを埋め込む攻撃のことです。
一過性の攻撃と持続的な攻撃のパターンがあります。
- 掲示板サイトなどで、送信したスクリプトがページ内で表示される脆弱性を利用して、リクエストを送信したページ上でスクリプトを実行させる
- スクリプトを含むリクエストを送信してサーバーに保存させ、ページを訪れた第三者にスクリプトを実行させる
3-3. 注文データ内のスクリプトを無効化できていなかった
この情報漏えいは、3つの段階で進行したと考えられます。
- 不正な注文による初期侵入
- 不正なスクリプトの設置
- 情報の窃取
この事件は、独自に運営するネットショップの注文フォームに不備があったことが発端です。
まず、2021年2月21日~24日にECサイトのシステムの脆弱性を狙った不正な注文が行われた、と考えられます。
注文データの入力値のチェックが不十分だったために、システム内のデータベースが誤作動してしまいました。
このとき、注文データへの不正なアクセスが発生し、不正なスクリプトがサイトに埋め込まれてしまいました。
本来であれば、入力されたデータ内にコードに使う記号などがあれば、いったん別の文字に置き換える処理(サニタイズ:無毒化)が必要です。
その後、埋め込まれた不正なスクリプトは、2024年1月17日に発見されるまで、約3年間にわたって稼働し続けました。
この間、サイトで入力された全ての個人情報が外部に送信された危険性があるわけです。
小規模のネットショップの場合は、専門の決済代行サービスと契約し、用意された決済ページを利用する方が安全です。
決済ごとに手数料がかかりますが、クレジットカード情報などのセキュリティを専門家に任せることができるからです。
4. ネットショップに見覚えがない?
ところが、腑に落ちない点がありました。
それは、このネットショップを使った記憶も記録もないことです。
自分で会員登録などはしておらず、クレジットカードの過去の利用履歴にも、この店舗は出てきません。
この場合、2つの可能性が考えられます。
- 1つは、すでにクレジットカード情報が別の経路で盗まれていて、それが入力された。
- もう1つは、他の利用者がカード番号を入力するときに誤って、たまたま同じ番号になってしまった。
他の人がカード番号を入力しても、名義人や利用期限・セキュリティコードが異なるため、決済は失敗します。
しかし、スクリプトは入力された情報をそのまま外部に記録し、それが露見した可能性です。
いずれにしても、クレジットカードを作り直しして、カード番号などを変更する必要があります。
