カード情報漏洩から半年後に公表

2022.06.18

クレジットカード

クレジットカード


photo by Sean MacEntee

ITmedia に掲載された以下の記事を読んで、カード情報漏洩から半年放置されたのは自分だけではないんだ、と思った。

情報漏洩を半年後に公表 「スイパラ」に批判の声 どこで対応を誤ったのか
2022年06月09日 06時00分 公開
[濱川太一,ITmedia]

記事によれば、スイーツパラダイスというショップからカード情報が漏洩した。原因はオンラインショップシステムのミドルウェアやアプリ、ツールなどの脆弱性を悪用されてカード情報が犯罪者のシステムに送信されてしまったのではないか、とのこと。

スイーツパラダイス運営元の井上商事が事象発覚から三か月後に調査が完了していたにもかかわらずさらに三か月後まで公表しなかったことが批判されているらしい。

「せんたく便」で被害にあう

自分は株式会社ヨシハラシステムズが運営するクリーニングと保管サービス「せんたく便」に登録したカード情報が漏洩被害にあった。
半年以上経過してから以下のような告知がウェブサイトに掲載された。

弊社が運営する「せんたく便」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

ITmediaの記事のスイーツパラダイスとほぼ同じで情報漏洩の約三か月後に調査が完了しているにもかかわらず、公表はさらに約三か月後となっているところが同じだ。

ユーザから見ると

ITmedia の記事では

半年後の公表となった理由について、井上商事は取材に対し、以下のように回答した。
 「本来であれば疑いが生じた時点でお客さまにご連絡し、注意を喚起するとともにおわび申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客さまへのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにしました」

「せんたく便」の発表でもほぼ同じ。カード会社や行政との連携を整えるまで三カ月かかっているという理由が挙げられている。

(3)情報公開について
 2020年12月30日情報漏洩の可能性があると判明しましたが、その時点では詳しい状況が不明でした。そこで、第三者調査機関に詳細調査を依頼し、クレジット会社とも連携交渉を進めました。その後、調査機関から詳細報告を受け、カード会社、行政との連携や問い合わせ窓口の設置等の対応策を整え、本日の発表となりました。発表までにお時間をいただきましたことを、深くお詫び申し上げます。

情報漏洩以前のせんたく便のウェブサイトでは一回だけの使用でもセキュリティコード登録が必須という設計だった。

自分の場合は、せんたく便を使って約一週間後、せんたく便を使用した翌日に海外のウェブサイトで不審な取引が検知されたとカード会社から連絡をもらった。
カード会社のサービスデスクに取引を止めてもらうとともにカードの再発行を依頼し、定期支払に登録しているカード番号を変更するなどの手続きをした。

その時は「せんたく便」から漏れたのかどうかは確信はなかったのだが、念のために「せんたく便」のウェブサイトを見に行くとクレジットカード決済ができなくなっていた。そのとき、「やっぱり、このウェブサイトから漏れたんだろうなあ。」と思った。

しかし、運営元会社からは連絡もなくウェブサイト上にも掲載された情報はなかった。

これからもこのサービスを使う?

当時「せんたく便」のサービスサイトがカード情報を保管していたのかミドルウェアなどのバグ、不具合により情報が抜かれたのかはわからない。
いずれにしても半年以上経過した時点でまだクレジットカード決済を受け付けていないところを見るとシステム改修が進んでいないことがうかがえる。

「せんたく便」サービスでは専任のセキュリティ担当がおらず、システム開発も人数が不足しているために、原因の解析調査やその後の対応まですべて、あるいは大部分を外部の会社のサービスに頼ったのではないかと感じさせる対応だ。

一方、ウェブサイトを見るとその後WAFを入れるなどセキュリティ対策を行っていることが掲載されている。

ネットの利便性を徹底追及した宅配クリーニングを提供する ヨシハラシステムズがクラウド型WAF「攻撃遮断くん」を導入

運営元の企業のセキュリティ管理体制が手薄だとすれば、検知サービスでセキュリティ事故が検知されたときに今度はすぐに知らせることができるのか、という心配は今もある。

常に心配しながらサービスを使うのは嫌なので、類似サービスを探してイオングループのカジタクのサービスを使うことにした。

宅配クリーニングパック【保管料・送料無料】|イオングループのカジタク
【12/2まで!衣替えするなら今!】衣類3点追加無料キャンペーンを10点パックを対象に実施中!実質4,785円分お得です!全国送料無料だから追加料金なし。宅配クリーニングならイオンのカジタクにお任せ!
www.kajitaku.com

サービス運営に望むこと

セキュリティ担当者がいない会社はインターネット上でサービス運営しないでもらいたい。

また、セキュリティ事故はゼロにはならないだろう。運営元企業には公表を早くすることがユーザに取って重要だと認識してほしい。
カード会社との連携に時間が必要なので半年ぐらいは仕方がないかもしれないがカードを不正使用されたユーザからすると半年は長すぎる。

コメント

タイトルとURLをコピーしました