こちらのnoteは、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字起こししご紹介しています。
株式会社ソングブックカフェは7月6日、同社が運営する保育者のためのECサイト「Hoick」に第三者からの不正アクセスがあり、顧客の個人情報流出の可能性が判明したと発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】ECサイトに脆弱性を突いた不正アクセスがあり、顧客情報が流出した可能性があるということです。多発する不正アクセスで求められるインシデント対応について説明します。
クレジットカード会社からの連絡を受けて第三者機関による調査を行ったところ、脆弱性を突いた不正アクセスが原因で顧客のカード情報及びログイン情報が流出した可能性があるということです。
流出した可能性があるのは、2020年10月29日から2021年4月8日の期間中にECサイトでクレジットカード情報を入力の上、決済を行った最大2,365件の顧客のカード情報ということです。PCIDSSではクレジットカード番号やセキュリティコードの保存を禁止しているため、顧客がカード情報を入力する際に、何らかの方法で通信が盗聴されていたことが考えられます。
PCIDSSとは、Payment Card Industry Data Security Standardの略で、クレジットカード情報を安全に取り扱う事を目的とした、クレジットカード業界のセキュリティ基準です。カード情報を保存、処理、伝送する企業が準拠する必要があります。
同社は顧客に対して、クレジットカードの不正利用がないか確認することと、他のサービスでECサイトと同じパスワードを使っている場合は変更することを呼び掛けています。
インシデント対応において、公表は正確性より即時性を優先すべきであると考えます。理由は、利用者保護や同様の被害を防ぐことを最優先すべきと考えるからです。
総務省が2020年1月28日に公開した「我が国のサイバーセキュリティ強化に向け速やかに取り組むべき事項」の緊急提言で述べられている内容で「個人情報などの流出が疑われる時点で、影響を受ける主体との関係なども踏まえつつ、速やかに情報の公表を検討することが望ましい」とされています。また「類似の被害の拡大を防ぐ観点から、インシデントに関する情報の共有を速やかに行うことが求められる」ともされています。
仮にECサイトが不正アクセスを受けた場合、カード情報が不正利用される可能性や、アカウント情報が他のサービスへの不正アクセスへ再利用される可能性があります。利用者が自信の個人情報が漏洩した可能性を知ることができれば、自ら対策を講じることも可能ですが、インシデントの公表が遅れた期間だけ、利用者の個人情報は危険にさらされた状態が継続されることになります。
また、サイバー攻撃は時に同様の手口が再利用される形で、他のサービスでも広く被害が発生する場合があります。インシデントが直ちに共有されることにより、類似の被害を未然に防ぐことができる可能性があります。
以上の理由から、インシデントの公表が混乱を招く可能性を考慮しても、即時性を優先すべきであると考えます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
