不正アクセスでカード情報流出、受託会社がカード情報全削除し被害者特定困難に(ジャングル) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.19(木)

不正アクセスでカード情報流出、受託会社がカード情報全削除し被害者特定困難に(ジャングル)

ホビーショップを運営する有限会社ジャングルは5月28日、同社の顧客情報を格納しているデータベースが不正アクセスを受け、通信販売にてカード決済を行った顧客のカード情報が流出した可能性が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
ホビーショップを運営する有限会社ジャングルは5月28日、同社の顧客情報を格納しているデータベースが不正アクセスを受け、通信販売にてカード決済を行った顧客のカード情報が流出した可能性が判明したと発表した。

これは2018年11月6日に、同社契約カード会社から同社の通販でカード決済を利用したユーザーのカード情報漏えいの可能性があると指摘があり、11月9日にフォレンジック調査会社への調査依頼したというもの。

11月19日の調査会社からの第一次報告によると、同社システム受託会社へ設置されているサーバーには本来、カード情報が保管されていない認識だったが、カード情報が格納されていたと推測される形跡があり、さらに不正アクセスによる情報漏えいが起こりうる脆弱性があったとのこと。

12月7日には同社システム受託会社から、退社済みの前任者が担当していたプログラムエリアにカード情報らしきものが存在し、情報漏えいの懸念が発覚した際に被害の拡大の恐れがある為にカード情報を全て削除したと報告を受けた。

12月12日に調査会社から、同社システム受託会社がカード情報のログを全削除した事により漏えいしたカード情報の特定には至らなかったことと、バックドアの形跡がなく不正アクセスのあったサーバー以外の被害は無いとの最終報告を受けた。

流出した可能性があるのは、不正利用被害等の発生状況からカード会社と協議の上で決定した2017年5月2日から2018年11月6日までに同社通販でカード決済を利用した顧客2,507件のカード情報(会員名、番号、有効期限、セキュリティコード)。

同社では、実際にクレジット決済が成立し連絡先がわかる顧客については、謝罪と経緯の説明、二次被害の注意喚起等を順次メールにて個別に案内している。また顧客に対して身に覚えのないカードの利用履歴がないか確認するよう呼びかけている。

同社では今後、通販システムのリニューアルを行い不正アクセス対策を実施、また、カード情報がサーバを経由せずにカード決済を行うオンラインカード決済を導入し、再発防止に努めるとのこと。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×