2023-02-17_10h40_08
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

ソフトウェア大手のソースネクスト株式会社は、同社のWebサイトが不正アクセスを受け、カード情報を含む個人情報約12万件が漏えいした可能性があると2月14日に発表しました。

今回漏えいとされる情報は、下記の通り。

(1)2022年11月15日〜2023年1月17日の間に同社サイトで製品を購入した利用者
 個人情報120,982名分
 (氏名、メールアドレス、郵便番号、住所、電話番号 ※一部は任意入力)

(2)上記のうち、クレジットカード情報を登録した利用者
 カード情報112,132名分
 (カード名義人名、クレジットカード番号、有効期限、セキュリティコード)

今回の漏えいにより、実際にクレジットカードの不正利用が行われており、同社ではクレジットカード会社と連携してのモニタリング、カード再発行の手続き(費用は同社負担)などを進めているとのことです。

同社では、今回の原因について「サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため」 としています。さらにQ&Aページの中で「当社ではお客様のクレジットカード情報は一切保有しておりません。 本件では悪意のある第三者によりweb サーバ上に不正なコードが追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました」と記載しています。つまり同社はカード情報不保持の方針は遵守していたものの、Webサイトに何らかの変更が加えられたことにより、利用者がカード情報や個人情報を入力するたびに情報を吸い取られていたということのようです。

発覚から公表までの経緯をまとめておきます。

1月4日 クレジットカード会社から連絡を受ける
1月5日 Webサイトでのカード決済を停止
1月5日 第三者調査機関による調査を開始
1月6日 個人情報保護委員会に報告(速報と思われます)
1月10日 所轄警察署に被害申告
1月13日 総務省関東総合通信局に報告(電気通信事業者のため?)
1月17日 不正プログラムの特定と削除が完了
1月23日 調査機関による調査が完了
2月14日15時 本人へ通知メール発信
2月14日 公表

https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいや、1000人以上の個人情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から約1カ月でした。

同社のリリースには「公表までに時間を要した経緯について」という項目があり、「漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。」との丁寧な言葉があります。

ただし、今回のような緊急事態に対し、同社の動きは適切なものであり、特に不正アクセスの対応の場合には、発覚から公表までは早くても1か月程度はかかると考えるべきなのではないかと考えます。

(過去の記事)
ワコム公式ストアからカード情報などが流出〜発覚から公表まで3カ月かかる〜
https://www.pmarknews.info/accident/52165607.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。