通販サイト「駿河屋.JP」を運営する株式会社エーツーは12月4日、8月に公表した不正アクセス被害の続報として、第三者調査の結果を発表。フォレンジック調査(電子鑑識)の完了により、最大3万431件のクレジットカード情報と、それに付随する2万9932名の顧客情報が漏えいした可能性があることが判明しました。
■ 漏えいの原因は「決済ページの改ざん」
同社によると、原因は監視ツールの脆弱性を突いた不正アクセスでした。攻撃者は決済ページで使用されているJavaScriptを改ざんし、ユーザーが入力した情報が盗み取れる状態にしていたといいます。改ざんは外部からの問い合わせを受けて8月4日に判明し、同日15時22分に修正作業が完了したとのことです。
今回の漏えいで影響を受けたのは、7月23日12時50分から8月8日の期間に「クレジットカード決済」を利用したユーザーです。氏名、住所、電話番号、メールアドレスなどの個人情報に加え、名義人名、カード番号、有効期限、さらにカードのセキュリティコードまで流出した可能性があり、不正利用の懸念が高まる状況となっています。
なお、決済ページ以外については、同社が保有する個人情報の持ち出しの証跡は現時点で確認されていないとしています。
■ 該当者には個別連絡、再発行手数料は負担へ
駿河屋は、該当する顧客に対して電子メールまたは書状にて個別に連絡を行うとしています。また、クレジットカードの差し替えを希望する場合、カード再発行の手数料は顧客負担とならないよう、同社からカード会社へ依頼済みとのこと。また、不審な請求がないか明細の確認を呼びかけるほか、パスワード変更や二段階認証の有効化も推奨しています。
8月の発覚から公表まで時間を要した理由について同社は、再発防止策の実効性確保を最優先とし、外部調査完了後に関係各社との調整を行っていたためと説明しています。
現在、同サイトでのクレジットカード決済は停止されており、対策実装と外部確認が完了次第、再開される予定とのこと。本件について駿河屋は「多大なるご心配とご迷惑をおかけしておりますことを深くお詫び申し上げます」と謝罪しています。
■ 今回用いられたと思われる「ウェブスキミング」攻撃とは
今回の不正アクセスで用いられたとみられる手口は、ECサイトを狙った「ウェブスキミング(Web Skimming)」と呼ばれる攻撃だと考えられます。決済ページに組み込まれているJavaScriptを改ざんし、ユーザーが入力したクレジットカード情報を攻撃者側へ送信させる仕組みで、近年国内外で被害が相次いでいます。
ウェブスキミングは、本来の決済処理自体は正常に行われるため、利用者が不正な挙動に気付きにくい点が特徴です。改ざんされたスクリプトは外部のサーバへ情報を送信するよう仕込まれることが多く、サイト運営者側でも気づきにくいケースがあります。
今回の駿河屋のケースでも、監視ツールの脆弱性を突かれ、外部からの問い合わせによって初めて異常が判明したとされています。ECサイト運営者にとっては、改ざん検知の強化や第三者診断の定期実施など、多層的な監視体制が欠かせない状況となっています。
<参考・引用>
駿河屋「第三者不正アクセスに関するフォレンジック調査完了および判明事項についてのお知らせ」(12月4日)
駿河屋「第三者不正アクセスによる個人情報漏えいとクレジットカード決済停止に関するお詫びとお知らせ」(8月8日)
(山口弘剛)
