サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

サンナチュラルズで起きた約6,000件のクレカ情報漏洩事件について



2014年4月、インターネット通信販売会社の「サンナチュラルズ」が、外部からの不正アクセスにより、クレジットカード情報が流出する事件を起こしました。被害は6,159件と言われており、比較的規模の大きな情報漏洩として注目を集めました。

今回は、この事件についてまとめます。

事件の概要

2014年4月1日 サンナチュラルズは外部委託先のクラウドサーバ上でECアプリケーションを構築、決済代行会社モジュール型サービスを運用開始。
2016年6月15日 当該アプリケーションの脆弱性を利用して、バックドアプログラムが設置される。(この時点では、サンナチュラルズは事態を把握していなかった)
2016年7月20日 決済代行会社より、当該アプリケーションを利用したサンナチュラルズの顧客が、クレジットカードの不正利用に遭ったことを、サンナチュラルズ側に通告。
2016年7月21日 事態を把握したサンナチュラルズは、当該アプリケーションでのカード利用を停止。並行して、調査会社に不正アクセスの痕跡の調査を依頼。
2016年11月10日 サンナチュラルズは依頼していた調査会社の最終報告を受けて、情報流出の事実を認め、最終調査報告の内容を公表。

流出した情報

2014年4月1日から2016年7月21日までの間の、クレジットカード情報(氏名、性別、住所、連絡先、カード番号等)6,159件が流出。

原因(問題点)

本件の最大の問題点は、ウェブアプリケーションの脆弱性を認識しておらず、事態の把握が遅れてしまったことです。

また、データベースサーバに暗号化されたクレジットカード番号を保存する構造になっていたことを、把握していなかったことも指摘されています。

事件後の対策

本件に対して、サンナチュラルズは以下の対策を取りました。企業ダメージを最小限に抑えるために必要な、顧客対応と再発防止策が中心です。

顧客対応部分

  • 専用ダイヤルを設けて、顧客に対する被害の実態把握に努める。
  • クレジットカード再発行にかかる必要を、サンナチュラルズ側が負担するように通告。

再発防止部分

  • 調査機関より指摘された、脆弱性が認められる部分を修復。
  • PCIDSS(クレジットカード情報の安全基準)に準拠したシステムへの改修。

どのような対策を行っていれば防げたのか

サンナチュラルズは情報流出対策として、クレジットカード情報を自社システムが保存しないよう、決済代行会社を利用したモジュール型サービスを採択。個人情報の漏えいに対する危機感はそれなりにあったものを考えられます。

ただし、本サービスがデータベースサーバに暗号化されたクレジットカード番号を保存する構造になっていることまでは把握しきれておらず、バックドアによる不正流出を許してしまう形となりました。

発生を防ぐためにはどうすべきだったか

直接的な対策としては、以下の方法が有効的だと考えられます。

  • ポートスキャンを行い、無用なポートがアクティブになっていないか、外部スキャンの形跡がないか等をチェックすること。
  • アプリケーション開発の際に、運用や管理のために管理者用のプロセスが付されている場合があるので、流出に備えて実態を把握しておく。
  • 第三者組織による、自社提供サービスの安全性評価を実施。

もちろん、サンナチュラルズが事後的に行った、脆弱性が認められる部分の修復や、システムの改修も有効な対策です。

再発防止に向けて、情報保護意識の向上を

サンナチュラルズは、現段階において脆弱性を修復し、システムの改修を行ったということですから、再発等の特別な不安はないものと考えられます。また、顧客への対応も対話及び負担軽減の両面に及ぶなど、十分に配慮しており、事態の収束に努めている姿勢は評価できるでしょう。

サンナチュラルズのようなインターネットを使ったショッピング事業は、通常の企業よりも多くの顧客情報に触れる組織です。その分、個人情報保護に対する責任は重たく、厳重な管理が求められると認識すべきでしょう。

今回のように事後的な対策を取ることはもちろんですが、自社だけではカバーできない部分については、安全性に対する第三者組織の判断を参考にするなどの対応が必要であったと考えます。

<参考>
サンナチュラルズ、不正アクセスを受け個人情報が流出/livedoorBrog
不正アクセスによるカード情報流出懸念に関するお知らせとお詫び(PDF)/株式会社サンナチュラルズ





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。