最近、また通販サイト利用者のクレジットカード情報が流出した事件が報道されました。

今回の該当者は7.7万人以上とここ最近の中でそこそこ多く、且つ、実害が出ているにも関わらず、このnoteを書いている時点で後追い記事がありません。推測の部分もあり取り上げるか迷ったのですが、自分自身の後学のためにもメモします。
重大なインシデントを想定するためには、こういった事例も参考になりますので。

なお本件の通販サイトの構築状況詳細が判りませんので、一般的な話となります。

*******

JNSA「2017年 情報セキュリティインシデントに関する調査報告書」によると、2017年に新聞やインターネットニュースなどで報道された個人情報漏えいインシデントは

漏えい人数　519万8,142人
インシデント件数　386件
想定損害賠償総額　1,914億2,742万円

です。一件あたり平均想定損害賠償額はなんと5億4,850万円。また一人あたり平均想定損害賠償額は2万3,601円です。
なお上記の調査には、顧客に対してのお詫びに関わる経費は含まれていません。

通販サイト運営者にとっも、またサイト利用者にとっても他人事ではありません。

テキストばかりの長文ですので、先ずは目次から。

目次

・ アサヒ軽金属工業通販サイト利用者のクレジットカード情報流出と経緯
・ 気になる点
・ 通販サイトの運営者の不備により、クレジットカード情報流出と巻き込まれた時にすべきこと
　- 事前にできること
　- 巻き込まれた時にすべきこと
・まとめに代えて、通販サイト運営者への提言
・オマケ : 最近の不正アクセスと情報漏洩事例

アサヒ軽金属工業通販サイト利用者のクレジットカード情報流出と経緯

(2018年8月2日に同社がプレスリリース「お詫びとお知らせ」)

アサヒ軽金属工業は大阪府大阪市にある調理器具メーカーで、圧力鍋のゼロ活力なべやフライパンのオールパンが主力商品。関西地区ではテレビCMもうつなどしている。カタログ販売他、大手ECサイト楽天や自社のサイトで製品を販売中。

2017年1月14日～2018年5月25日の期間に「Ｗebショッピングサイト」にて、クレジットカード決済を利用し購入した顧客の個人情報が流出。同社による流出した可能性のある情報は以下の3点。

・カード会員名
・クレジットカード番号
・有効期限

漏洩したと考えられる人数 77,198名

※本件問い合わせ先については、同社のプレスリリースでご確認ください。

気になる点

"会社のプレスリリースを信用するならば"、住所や電話番号は漏れていないとのことですが、クレジットカードに関わる情報の上記の3点が漏れればインターネット上の他のサイト等での、第三者による利用は容易です。
最近はPINを入れる必要があるサイトも多いですが、まだそこまで対応していないサイトも少なくありません。これをふまえて、さっと思いついた気になる点を幾つか。

1.第三者による不正アクセスを自社で検知できていない

プレスリリースによると、第一報は「クレジットカード会社」から同社に入った連絡です。第三者による不正アクセスとされていますが、自社で検知したものではないことが引っかかります。
決済手段は別の決済代行サービスを利用しているのかも知れませんが、システムの追加検証やセキュリティパッチを速やかに充てる、ストレステストを行うといったものはされていなかったのでしょうか。なお運営サイト自体が全体的に常時SSLではないのも気になります。

2.重要な顧客データをサーバ置きっぱなし?

これは私の想像です。
"会社のプレスリリースを信用するならば"今回漏洩したものに連絡先は含まれていないということなので、連絡先のデータベースとクレジットカードなどの決済情報の部分は切り分けられていたのかも知れません。或いは決済手段は他社の決済代行サービスを利用していたのかも知れません。
おそらく後者が多いでしょうし、どこの部分から漏れたのか判らないですが、盗られて困るものを不正アクセスされた時に盗れる場所に置きっぱなしであったのなら論外です。
家の鍵をかければ安心ではなく、盗られたら困るものはさらに金庫あるいは銀行の貸金庫などに預けるといった措置をすることもあります。それと同じです。ましてや、顧客から預かった重要な情報ですから。
カード情報は原則非保持、保持するなら国際基準であるPCIDSSに準拠が必要です。

3.第一報から初動まで、また周知までに要した時間

2018年6月6日にクレジットカード会社から連絡があったにも関わらず、顧客への案内と対外的なプレスリリースは2018年8月2日でした。
つまり、その間に約2ヶ月近くを要しています。
理由は
「詳細調査を依頼している第三者調査機関の最終報告書をもって報告する事とした」
とあります。
確かに不確定な話を出して不安を招くのは避けたいところですが、危機管理の観点から第一報はいち早く出さねばなりません。その時点での事実のみを伝え、追って報告するべきです。事実のみを伝えれば、プレスリリースにある"正確な状況を把握しない段階で公表することは却って混乱を招くことと"にはなりません。混乱するのはむしろ漏洩が発覚した会社であり、問い合わせに対して真摯に答えていくのは会社としての責務と考えます。

また前後しますが、2018年6月6日の第一報以後、2018年6月8日にカード決済を停止したとあります。停止するまで1日+数時間あります。
停止後に顧客に対して「なぜカード決済が使えないか」という説明はされていません。
決済代行サービスを使用していようがいまいが、これは運営者としての対応の部分です。

4.不正利用の発生を抑えられていない

プレスリリースには、
「流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。」
とありますが、実際にこの漏洩によると思われる不正利用もリリース前に発生しています。クレジットカード会社から連絡があったのがそれですし、その後もおきていることが確認できています。

5.対象者への連絡手段がeメール一回きり

対象者への連絡は、電子メールにてお詫びとお知らせを個別にしたとあります。しかし、電子メールが届いたか否か、さらに届いていても読んでいるかは送信元では確認できません。いくつもの手段で対象者に連絡し、その後の対処を促すべきと考えます。
(今後、郵送などにより重ねての連絡あるかも知れませんが‥)

6.対象者へのお詫びに際して慰謝料等に言及していない?

5の連絡に絡むのですが、情報漏洩の被害者である顧客へのお詫びに、慰謝料支払い等の言及がありません。これからなのか、支払う気がないのかは判りませんのでこれ以上は書きません。
不正利用があればクレジットカードの変更に手間と不便が発生しますので、少なくとも対象者に対して何かしらアクションがあるべきと思います。

ざっと思いついただけ羅列しました。結果論のように見えますが、実は事前に会社として対処できたことが幾つもあります。
重大なインシデントが起きたときは初動が大切であり、その為にも例えば防災訓練のように「何か会った時にどうするか」という想定と確認は、常々行っておくべきです。
同社は違うかも知れませんが、この件から読み取れるのは「うちのサイトは大丈夫だろう」という過信はしてはならない、ということです。

通販サイトの運営者の不備により、クレジットカード情報流出と巻き込まれた時にできること

事前にできること

通販サイトがどのような保守管理をしているかは利用者には判りません。どこの決済代行サービスを使用するかはサイト運営者にゆだねられています。選択肢はありません。

顧客が常日頃できることは、

・パスワードを使いまわししない
・SSLを導入しているか否か確認する
・見るからに怪しいサイトは、例え安くても利用しない(この部分はまた別の機会にしようかな)
・クレジットカード情報をサイトに保管するのは避けるか或いはクレジットカードやその他個人情報の保存機能は使わない
・クレジットカードの信用枠を必要最低限にする(この部分もまた別の機会に)
・クレジットカードを適宜使い分ける(後述します)

といった程度です。

余談ですが、パスワードを定期的に変更するのはあまり意味がありません。
むしろ覚えにくくなることを避け、容易なものになりがちです。また、定期的に変えていたとしてもどこかのサイトが攻撃を受けて漏れるのであれば、結果が同じことなのは考えてみれば想像にたやすいと思います。

なおパスワードの問題については、過去のnoteにあげてますのでご興味のあるかたはぜひ、そちらを。PDFのではありますが、考え方は同じです。

利用者側が常日頃できることはもう1つあります。

クレジットカード利用明細を必ずチェックする

です。

最近は印刷ではなく、Webでのクレジットカード利用明細が多くなってきました。メールでクレジットカード会社から新しい明細の案内が来たら、最低限でもこの時にチェックしましょう。
紙だと手元に来るので見ても、Webだとつい見逃す方が増えるのではないかと思われます。
利用明細は小まめに確認しましょう。
Webのメリットは紙より反映が早いことですから、その分発見も早くすることができますよ。

巻き込まれた時にすべきこと

明細を見ていて疑問に思う利用があったら、すぐクレジットカード会社に連絡しましょう。
連絡先は利用しているクレジットカードの裏に明記されています。
「身に覚えのない利用が請求されている」
と伝えれば、調べて専門の部署等で対応します。時間はさほど要しません。

また、漏洩によるものと疑われる、あるいは漏洩によるものであれば、すぐクレジットカードを止めてもらいます。
この時気を付けなければならないのは、公共料金等重要な支払を対象となったクレジットカードで利用していないか、です。

"事前にできること"の部分で書いた
「クレジットカードを適宜使い分ける」
は、そういった万が一の時に備えてのことです。滅失することも絶対ないとは言えませんので、インターネット上での買い物用と普段の買い物用や重要な支払いのものは分けるというのも1つの手立てです。

話は戻ります。
決済日(銀行からの引き落とし日)に間に合えば不正利用部分は引き落とされないか、間に合わなければ別の提案がクレジットカード会社からあると思います。クレジットカード会社の対応にもよるので明確には言えませんが、明らかに落ち度がない不正利用であれば、利用者の負担を考えて対応してくれるはずです。

日頃からチェック
↓
「身に覚えのない利用が請求されている」のを確認
↓
すぐクレジットカード会社に連絡

不正利用されているかも?!と思うと動揺しますが、ちゃんと段階を踏めば大丈夫です。また、たいがいのクレジットカード自体が盗難保険に入っているので、早めに対応していればクレジットカード会社できちんと対応してくれます。

なお今回の情報流出とクレジットカード不正利用発生のように、すでにクレジットカード会社側でも認識されているものは対応もスムーズだと思われます。

まとめに代えて、通販サイト運営者への提言

安心安全なサイト運営は、通販サイトの責務であると考えます。

サイトの規模の大小は関係ありません。特に個人事業などで運営しているWebサイトの場合は、サイトを作ったら作りっぱなしでページを更新するのみ、あとは気にせずとなりがちです。運営する側の立場は経験を多々していますので、ある意味仕方がないよねと個人的には思います。でも、仕事である以上サイトの利用者にとってはそれは関係ないことです。
小さなサイトで盗まれたクレジットカードであっても、不正利用の第三者にとっては関係ありません。クレジットカードの信用枠によっては何十万、何百万と使われてしまうこともあるのです。

できないならば無理せず、多少の費用負担があっても専門家にゆだねるほうが、会社として結果的に経費は減ります。
今般のような漏洩事件がおこれば、不正利用分の補填はクレジットカード会社とのやり取りとなり金額的なダメージは大きくなります。また、一度失った信用は「プライスレス」、容易には取り戻せません。金銭で対応できるくらいなら、まだマシなのです。
会社だろうが個人だろうが、不正アクセスされた被害者です、または決済代行サービスを利用していたので我々は判りませんという言い訳は通用しないと肝に銘じるべきと考えます。

厳しい言い方を全体的にしましたが、不正アクセスによる被害者が後を絶たないことを鑑みて記しました。常日頃の備えと、もしもの時、火を消すのは小さいうちの方がたやすいのです。
今回のような事例をもとに"セブンステップ・ガイド"を用いるなどし、自分が当事者であったらどうするか考えるのは大切です。

オマケ : 最近の不正アクセスと情報漏洩事例

冒頭で書いたJNSA「2017年 情報セキュリティインシデントに関する調査報告書」によると、不正アクセスが要因の漏洩は全体の17.4%。原因の3番目です。

そこで春以降ニュースになった、不正アクセスによる情報漏洩事件をいくつか記します。また、それについての意見等を書かれているブログもあわせてご紹介します。

アパレルECサイトで不正アクセス、カード情報など最大358件漏えいの可能性(2018年7月30日にリリース)
‥ファッションECサイト「evam eva online shop」からカード情報など最大358件漏えいの可能性

ホテル予約者情報の流出、影響が波及 - 大規模から小規模まで(2018年6月26日にリリース)
‥フランスのホテル予約システムを提供するファストブッキングから国内380の宿泊施設の暗号化されていない個人情報と、国内189の宿泊施設において、暗号化された情報（クレジットカード名義人氏名、クレジットカード番号、クレジットカード有効期限）が流出。GDPRに抵触するかといった話もるあったので、これはまた別途。
これの経緯など詳細は、piyologさんの「ファストブッキングへの不正アクセスについてまとめてみた」が詳しいです。

森永乳業の健康食品通販サイト情報流出、不正使用300件　被害約2000万円(第一報2018年５月９日、その後2018年6月4日)
‥森永乳業の健康食品通販サイトからカード情報を含む個人情報が漏洩し最大９万2822人、不正利用300件強で被害約2000万円。
また最大６万3049人の顧客については、住所や電話番号などカード以外の個人情報が流出。
なお本件についても内容がひどく、2017年10月16日に同サイトのサーバを入れ替えているがこれより前に使用していた旧サーバーの脆弱性が放置されてきており、内部に保存されていた顧客情報が流出した可能性があるとのこと。またクレカについてはセキュリティコードまで漏洩とか。
これの経緯など詳細は、Fox on Securityさんの「森永乳業の情報漏えい事件を考えてみた。」が詳しいです。

(了)

今日のヘッダー写真は、みんなのフォトギャラリーより