プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

タグ:カード情報漏えい

2023-02-17_10h40_08
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

ソフトウェア大手のソースネクスト株式会社は、同社のWebサイトが不正アクセスを受け、カード情報を含む個人情報約12万件が漏えいした可能性があると2月14日に発表しました。

今回漏えいとされる情報は、下記の通り。

(1)2022年11月15日〜2023年1月17日の間に同社サイトで製品を購入した利用者
 個人情報120,982名分
 (氏名、メールアドレス、郵便番号、住所、電話番号 ※一部は任意入力)

(2)上記のうち、クレジットカード情報を登録した利用者
 カード情報112,132名分
 (カード名義人名、クレジットカード番号、有効期限、セキュリティコード)

今回の漏えいにより、実際にクレジットカードの不正利用が行われており、同社ではクレジットカード会社と連携してのモニタリング、カード再発行の手続き(費用は同社負担)などを進めているとのことです。

同社では、今回の原因について「サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため」 としています。さらにQ&Aページの中で「当社ではお客様のクレジットカード情報は一切保有しておりません。 本件では悪意のある第三者によりweb サーバ上に不正なコードが追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました」と記載しています。つまり同社はカード情報不保持の方針は遵守していたものの、Webサイトに何らかの変更が加えられたことにより、利用者がカード情報や個人情報を入力するたびに情報を吸い取られていたということのようです。

発覚から公表までの経緯をまとめておきます。

1月4日 クレジットカード会社から連絡を受ける
1月5日 Webサイトでのカード決済を停止
1月5日 第三者調査機関による調査を開始
1月6日 個人情報保護委員会に報告(速報と思われます)
1月10日 所轄警察署に被害申告
1月13日 総務省関東総合通信局に報告(電気通信事業者のため?)
1月17日 不正プログラムの特定と削除が完了
1月23日 調査機関による調査が完了
2月14日15時 本人へ通知メール発信
2月14日 公表

https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいや、1000人以上の個人情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から約1カ月でした。

同社のリリースには「公表までに時間を要した経緯について」という項目があり、「漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。」との丁寧な言葉があります。

ただし、今回のような緊急事態に対し、同社の動きは適切なものであり、特に不正アクセスの対応の場合には、発覚から公表までは早くても1か月程度はかかると考えるべきなのではないかと考えます。

(過去の記事)
ワコム公式ストアからカード情報などが流出〜発覚から公表まで3カ月かかる〜
https://www.pmarknews.info/accident/52165607.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

ワコム公式ストアからカード情報などが流出〜公表まで3カ月かかる〜
(画像は同社のWebサイト)

皆さんこんにちは。
プライバシーザムライ中康二です。

タブレット製品で有名な株式会社ワコムが、同社の運営する「ワコムストア」において、不正アクセスを受けて、カード情報ほかが漏えいしたと11月21日に発表した。

今回漏えいとされる情報は、下記の通り。

(1)2022年2月19日〜4月19日の間の「ワコムストア」での購入者
 クレジットカード情報最大1,938件
 (名義人名、カード番号、有効期限、セキュリティコード、Eメールアドレス)

(2)2021年2月22日〜2022年4月19日の間の「ワコムストア」の利用者
 個人情報最大147,545名分
 (氏名、郵便番号、住所、電話番号、メールアドレス、性別、会員IDなど)

同社のリリースでは詳細が明確に書かれていないため、原因は不明ですが、どうもWebサイトに改ざんが加えられて、情報を吸い取られたような印象を受けます。またこの事件とは関係なく、同社では4月19日にシステムの全面入れ替えを行ったため、その日で漏えいが止まったということのようです。

そして、8月にクレジットカード会社からの連絡を受け、今回の発表に至ったとのことです。発表に至るまでの流れは下記の通り。

8月19日 クレジットカード会社から連絡を受ける
8月22日 「ワコムストア」での販売・カード決済を停止
8月22日 個人情報保護委員会に報告(速報と思われます)
8月30日 第三者調査機関による調査を依頼
9月30日 調査機関による調査が完了
10月3日 埼玉県警に被害申告
10月17日 個人情報保護委員会に報告(確報と思われます)
11月21日 公表

https://estore.wacom.jp/ja-JP/info/202211

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から3カ月を要しています。これは残念ながら「速やかに」とは言えないと思います。

実際にカード情報が漏えいし、不正利用されているのですから、これが放置されていたとしたら由々しき事態です。もしかしたらカード情報が漏えいした1,938件については、本人には漏えいなどの詳細は伝えられないまま、カード会社側で停止/再発行が行われたのかもしれないなと思います。そうでないと、二次被害がどんどん拡大しますからね。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

↑このページのトップヘ