大手小売業のECサイトにおける情報セキュリティ事故

 日本の小売業の企業の売上高ランキングをご覧になったことがありますか?

 イオンとセブン&アイ・ホールディングスの2強が圧倒的に強いのですが、ユニクロを展開するファーストリテイリングと家電販売店大手のヤマダ電機が3位、4位あたりに入ってきます。アパレルと家電という単一分野の販売店を展開している企業が、デパートやショッピングセンター、コンビニを展開している企業を上回る売上を上げているのは素晴らしいことです。

 偶然ですが、この2企業がインターネット販売関係でトラブルを起こしました。

 ファーストリテイリングのECサイトがリスト型攻撃を受けました。リスト型攻撃とは、他のサイトから流出したIDとパスワードを使ってログインを試みる攻撃です。攻撃によって、個人情報が閲覧された可能性のある461,091件のユーザIDのパスワードを無効化し、パスワードの再設定のお願いをメールで個別に送るという対応をしました。この対応は普通なのですが、一部報道によるとリスト型攻撃を受けていないユーザのパスワードも無効化してしまったようです。

 まあ、これは大した問題ではないような気がします。問題なのはヤマダ電機の方です。

 2019年5月29日に同社が運営するECサイトであるヤマダウエブコム・ヤマダモールのソフトウェアが改ざんされ、2019年3月18日~2019年4月26日の期間に「ヤマダウエブコム・ヤマダモール」で新規クレジットカード登録、及びクレジットカード登録の変更した顧客のクレジットカード情報が流出する状態となっていたことが公表されました。

 流出した可能性があるデータは、クレジットカード番号、有効期限、セキュリティコードです。流出した可能性のある件数は37,832件です。セキュリティコードが流出してしまったのは痛いですね。名義人のデータは流出していないようなのですが、それでも不正利用の危険は残りますね。

 

 ヤマダ電機の対応で問題視されているのは、4月16日の時点で、クレジットカード会社からの連絡により情報漏洩の可能性を認識していたにもかかわらず、新規クレジットカード登録、及びクレジットカード登録の変更を停止したのが4月26日だったという点です。なぜ即座に停止しなかったのでしょうかね。

 さらに、公式サイトでこの事実を公表したのは一か月後の5月29日だったのも不可思議です。5月20日に第三者機関の調査結果がでたのでそれから発表したとのことです。

 公式サイトでは、「2019年4月16日情報漏洩の可能性は判明しましたが、正確な状況を把握しない段階で公表することは却って混乱を招くこととなることから、「ヤマダウエブコム・ヤマダモール」での新規クレジットカード登録、及びクレジットカード情報の変更を停止させて頂き、詳細調査を依頼している第三者調査機関の最終報告書をもって報告する事とさせていただきました。」としています。第三者調査機関の最終報告書を待っていたなら5月21日に公開しろよという話もあるのですが、やはり、流出の可能性が判明した時点でクレジットカードの登録・変更機能を停止し、現在第三者機関で調査中ですという公表をすべきでしたね。

https://www.yamada-denki.jp/information/190529/

 

コラム一覧へ