セキュリティコードまで?・・・
ITmediaの記事に、 打楽器専門ECサイトでカード情報漏えい 最大1667件、セキュリティコードも流出 悪用の可能性 てのがありました。
打楽器専門店を運営するコマキ楽器(東京都台東区)は8月23日、ECサイト「コマキ楽器WEBサイト」が第三者から不正アクセスを受け、最大1667件のクレジットカード情報が漏えいした可能性があると発表したそうです。記事によると・・・
漏えいしたのは、2019年11月27日~2021年2月19日に、同サイトで購入した顧客のカード情報で、名義人、カード番号、有効期限、セキュリティコード。1人が複数のカードを登録していたケースも含め、1513人分の情報が流出し、一部は不正利用された可能性があるという。
2月19日、カード会社から情報漏えいの可能性について指摘を受け、カード決済を停止した上で調査して発覚した。不正アクセスによりサイトの脆弱性が突かれ、ECサイト内の決済アプリが改ざんされたことが原因という。
だそうです。この手のECサイトでのクレジットカード情報漏えいは先月から今月にかけてちょっと調べただけでも4件ありました。
- 読売新聞子会社でクレカ情報流出 すでに767万円の金銭的被害も確認
- ECサイトでまたクレカ情報流出か 建築系ショップから2018年7月~21年1月の間に4000件以上
- クレカ情報流出、不正利用の可能性 - 健康食品通販サイト
- ヘアアクセサリ通販でクレカ情報4538件が流出 - 9割超は不正カード情報
今回の件も含め、共通しているのは、自社でECのシステムを運営していてクレカ情報まで保存していることです。上記すべてのショップでセキュリティコードまで保存していて、実際に金銭被害まで出ています。
上記のサイトがどのようなシステムで運営されていたかまでは、記事中に言及されていませんので分かりませんが、ECサイトのシステムで多く利用されているのが EC-CUBE です。
そのEC-CUBEに今年5月に、クロスサイトスクリプティングの脆弱性 が発見されました。この際にすでにクレカ情報の流出が確認されています。
上記のサイトがEC-CUBEを利用していたかどうかは定かではありませんが、少なくともクレカ情報が流出していることは事実です。自社でECのシステムを運営すること自体は全く問題ありませんが、もしこういった脆弱性への対応を自社で迅速に行えない体制だとするならば、すぐにでも大手の決済代行会社経由のシステムに変更すべきでしょう。
EC-CUBEは手軽にECサイトを構築できるため、多くのサイトで利用されていますが、サイトの制作会社の中にはアップデートに対応せずにそのまま運用させている業者や、そもそもアップデートはおろか作りっぱなしの業者もいるようです。
そういった業者を運悪く利用してしまい、サイト運営側にセキュリティに対応する人材がいない場合、こういった脆弱性放置によりクレジットカード情報の流出が起きてしまいます。
企業のEC担当者は少なくとも自社がどういったシステムを利用し、そのシステムに対してどういったセキュリティ対策が必要なのか程度は最低限理解しておく必要があるでしょう。
ECサイトを運営されている方は、今一度自社のシステムの確認をお薦めします。