（画像は同社Webサイトより）

皆さんこんにちは。
プライバシーザムライ中康二です。

家電量販大手のヤマダ電機は、自社が運営する通販サイト「ヤマダウエブコム」と「ヤマダモール」のカード入力画面に改ざんが行われ、最大で4万件弱のカード情報が流出した可能性があると発表しました。

流出した可能性があるのは、今年3月18日から4月26日の間に、同社の通販サイトにクレジットカード番号を入力した顧客の
「クレジットカード番号」「有効期限」「セキュリティコード」最大37,832名分
とのことです。

同社では、今回の発表にいたる流れを下記の通りと説明しています。
　4月16日　カード会社からの連絡を受けて調査を開始
　4月26日　Webサイト上でのカード情報の登録を停止
　5月7日　警察当局に報告と相談
　5月20日　調査が終了
　5月28日　個人情報保護委員会に報告
　5月29日　公表

同社では、クレジットカードの再発行にかかる費用が同社が負担するとしています。

https://www.yamada-denki.jp/information/190529/

（私のコメント）
同社のリリースによると、原因を「第三者によってWebサイトに不正アクセスがあり、ペイメントアプリケーションの改ざんが行われたため」としています。この表現が大変分かりづらい上に、また「カード番号やセキュリティコードは自社では保存していなかった」との説明を行ったようで、マスコミ報道などで少し混乱があったようです。

今回の原因を分かりやすく表現すると、「Webサイトが乗っ取られ、内容が書き換えられたために、本来は決済代行会社に直接送信されていたはずのカード情報が抜き取られた」ということです。

つまり犯人はとても慎重に同社のサーバーに入り込み、見ただけは気づかないような形でカード情報が自分たちのサーバーに流れてきて、かつ購入手続きは正しく完了できるようにWebサイトの内容を書き換え、それが実際に1ヶ月間以上そのままになっていたということなのです。

今回の事件は、流出したカード情報の一部が不正利用されたことにより、カード会社側で検知されて発覚したようです。しかし、もし犯人が不正利用をしないまま寝かせていたとしたら、もっと長い間、発覚しなかった可能性もあります。

つまり、もしかすると他の大規模な通販サイトでも罠が仕掛けられている可能性がありますね。カード決済をお使いの全ての事業者の方は、決済代行会社の画面に遷移する直前のWebページが改ざんされていないか、再度確認されることをオススメします。

また、何か情報が入りましたら、皆様にシェアいたしますね。