概要
- 2024年9月〜10月に公表されたクレジットカード情報漏えいインシデントのまとめです
notes
- この月間に公表したものなので、各インシデントごとの被害発生期間は別です
- どの程度のインシデントと被害が月ごとに発生しているかの備忘録であり報道記事ではないので、原則として当事者法人等の個別具体的名称は書きません
- 被害に遭った可能性のある人には事業者等より個別に連絡があると思われます
当月の被害の概要
- 9月に公表されたクレジットカード情報漏えいインシデントはありませんでした
- 10月は、6件のクレジットカード情報漏えいインシデントが国内で公表されました
- 合計で、15万313件ほどのクレジットカード情報について漏えいの可能性があるそうです
当月のインシデント
1. 大手コーヒーチェーン公式サイト
- 割賦販売法における、クレジットカード情報非保持化タイプと推測されます
- 原因は、当該サイトの脆弱性の放置と推測されます
- また、当該サイトの管理運用においてセキュリティ侵害を検知する仕組みが不足していたか存在していなかったため、被害発生期間が長期化した原因につながったものと思われます
- 92,685件の個人情報の漏えいの可能性があります
- 52,958件のセキュリティコードを含むクレジットカード情報漏えいの可能性があります
- クレジットカード情報の漏えい期間は、2021年7月20日~2024年5月20日とのことです
- 2024年5月20日に、警視庁より漏えいの可能性の連絡を受けてインシデントが発覚したそうです
2. 健康食品・化粧品等販売サイト
- 割賦販売法における、クレジットカード情報非保持化タイプと推測されます
- 原因は、当該サイトの脆弱性の放置と推測されます
- また、当該サイトの管理運用においてセキュリティ侵害を検知する仕組みが不足していたか存在していなかったため、被害発生期間が長期化した原因につながったものと思われます
- 32,345件の個人情報の漏えいの可能性があります
- 4,494件のセキュリティコードを含むクレジットカード情報漏えいの可能性があります
- クレジットカード情報の漏えい期間は、2021年2月4日~2024年5月28日とのことです
- 2024年6月19日に、クレジットカード会社より漏えいの可能性の連絡を受けてインシデントが発覚したそうです
3. ランドセル販売サイト
- 割賦販売法における、クレジットカード情報非保持化タイプと推測されます
- 原因は、当該サイトの脆弱性の放置と推測されます
- また、当該サイトの管理運用においてセキュリティ侵害を検知する仕組みが不足していたか存在していなかったため、被害発生期間が長期化した原因につながったものと思われます
- クレジットカード以外の個人情報の漏えいの可能性について公表内容には言及がありませんでした
- 16,396件のセキュリティコードを含むクレジットカード情報漏えいの可能性があります
- クレジットカード情報の漏えい期間は、2021年3月28日~2024年7月17日とのことです
- 2024年7月17日に、警察より漏えいの可能性の連絡を受けてインシデントが発覚したそうです
4. 紅茶販売サイト
- 割賦販売法における、クレジットカード情報非保持化タイプと推測されます
- 原因は、当該サイトの脆弱性の放置と推測されます
- また、当該サイトの管理運用においてセキュリティ侵害を検知する仕組みが不足していたか存在していなかったため、被害発生期間が長期化した原因につながったものと思われます。ただし当該サイトの運営に携わっていたと思われるシステム会社にて何らかの経緯で検知したものと思われます
- 103,289件の個人情報の漏えいの可能性があります
- 58,407件のセキュリティコードを含むクレジットカード情報漏えいの可能性があります
- クレジットカード情報の漏えい期間は、2020年4月26日~2024年5月21日とのことです
- 2024年5月22日に、システム会社より漏えいの可能性の連絡を受けてインシデントが発覚したそうです
5. 大手電機メーカー公式オンラインストア及び同社運営食材宅配サービスサイト
特徴
- 本インシデントは、PCI DSS認証取得したサイトで発生したという点が際立った特徴となります
被害範囲
- 5,836件の個人情報の漏えいの可能性があります
- 1,376件のセキュリティコードを含むクレジットカード情報漏えいの可能性があります
- クレジットカード情報の漏えい期間は、2024年7月19日~2024年7月22日とのことです
経緯
- 2024年7月22日に、同社においてインシデントを検知しインシデント対応・調査等を開始しました
- 2024年7月29日に当該2サイトへの不正アクセスによる個人情報漏えいインシデントについて公表されました
- この段階ではクレジットカード情報漏えいについて言及はありませんでした
- 同年10月30日、その後の継続調査結果について続報として公表され、クレジットカード情報漏えいの可能性について明らかになりました
原因等
- 原因は、当該2サイトで採用していたソフトウェアの脆弱性を悪用した改ざんによるクレジット情報や個人情報の窃取、と公表されています。ただしどのソフトウェアのどの脆弱性なのかについては言及されていません
- 同社の脆弱性管理のあり方や、代替策を含めた脆弱性対策、攻撃により改ざんにまで至ったことやその検知が遅れた点、といったところに課題があったものと思われます
改善策
同社は今後の改善策として以下のように公表しています
- システムのセキュリティ対策
- 今回の直接の原因であった脆弱性について、脆弱性の早期発見および早期対策の実施体制の強化
- 監視体制の強化
- 脆弱性があった場合においても(迅速に対応できるよう)、侵入検知システムの追加等、多層のセキュリティ対策(多層防御?)を含めた監視体制の強化
- セキュリティに関するルールの見直し
- 定期的な自己診断内容の強化等
6. 老舗料亭通販サイト
- 割賦販売法における、クレジットカード情報非保持化タイプと推測されます
- 原因は、当該サイトの脆弱性の放置と推測されます
- また、当該サイトの管理運用においてセキュリティ侵害を検知する仕組みが不足していたか存在していなかったため、被害発生期間が長期化した原因につながったものと思われます
- 19,235件の個人情報の漏えいの可能性があります
- 16,682件のセキュリティコードを含むクレジットカード情報漏えいの可能性があります
- クレジットカード情報の漏えい期間は、2021年6月12日~2024年5月14日とのことです
- 2024年7月16日に、クレジットカード会社より漏えいの可能性の連絡を受けてインシデントが発覚したそうです
- 2024年7月18日に、第一報として「第三者による不正アクセスを受け個人情報が漏洩した可能性があること」を公表しており、同年10月31日に調査結果の報告を行い、この時点でクレジットカード情報の漏えいを明らかにしました
感想
- 9月にはこの類のインシデントによるクレジットカード情報の漏洩の知らせがありませんでした
- 10月は6件インシデントが公表され、そのうち特に各業界国内大手ブランド2件、老舗料亭ブランド1件についてはNHKはじめマスメディアでの報道もなされました
- 全体的にインシデントあたり1万件を超えるクレジットカード情報漏えいが多く被害の大きさが目立ちました