JINSオンラインショップに再び不正アクセス、個人情報118万件が閲覧可能状態に
ジェイアイエヌが運営するメガネのECサイト「JINSオンラインショップ」で不正アクセスが発生し、顧客の個人情報やメールアドレスなど合計約118万件が不正に閲覧された可能性があることがわかった。3月24日、被害状況と今後の対応を発表した。
アクセスできる状態にあった情報は、「メールアドレスと個人情報(氏名、住所、電話番号、生年月日、性別)」が74万9745件、「メールアドレスのみ」は43万8610件。クレジットカード情報は漏えいしていない。
不正アクセスの被害が判明したのは3月22日。オンラインショップで使用している汎用プログラム「Apache Struts2」の脆弱(ぜいじゃく)性が原因で、第三者が一定期間、個人情報にアクセスできる状況にあったという。
被害が発覚した3月22日に外部の専門調査機関に調査を依頼。翌日、本件に関わる専用相談窓口を設置した。
「Apache Struts2」に起因する被害が拡大
「Apache Struts」 は、Apache Software Foundationが提供するソフトウェアフレームワーク。独立行政法人情報処理推進機構(IPA)は、「Apache Struts2」にはリモートで任意のコードが実行される脆弱性が存在するとして、速やかに対策を行うよう利用者に注意喚起している。
「Apache Struts2」の脆弱性を巡っては、GMOペイメントゲートウェイが運営代行しているサイトで情報漏えいが発覚するなど、被害が広がっている。
ジェイアイエヌは2013年にも不正アクセスの被害を受けた。その際、顧客のクレジットカード情報約1万2000件が漏えいした可能性があり、オンラインショップを一時休止。不正アクセスの原因は「Apache Struts2」の脆弱性だった。
その後、再発防止策としてクレジットカード決済システムの国際的なセキュリティ基準である「PCI DSS」への準拠などを実施。また、クレジットカード情報をオンラインショップのサーバ上を通過させない仕組みも導入している。
ジェイアイエヌが実施しているセキュリティ対策
- 不正アクセスを自動的に遮断する機構の導入
通信を監視する専用機器を導入、異常を24時間365日体制で検知。不正アクセスの疑いがあれば自動的にその通信のみを遮断する仕組みを導入 - PCI DSS完全準拠
クレジットカード決済システムの国際的なセキュリティ基準である「PCI DSS」に準拠。認証セキュリティ監査法人による準拠証明を取得 - クレジットカード情報の完全不保持
クレジットカード情報がサーバを通過しない仕組みを採用 - 会員ログインフォームのセキュリティ向上
他サイトなどから流出したと思われるIDとパスワードの組み合わせによる総当たりの不正ログイン対策。一定回数以上ログインを失敗すると、自動的に一定期間そのIDを使えないようにする対応を導入 - 改ざん検知機構の導入
サーバー上のファイル変更を検知し通知する仕組みを導入 - アクセス制御の厳格化
ファイアウォールを導入し、管理者の承認がないシステムアクセスを遮断。承認済みアクセスであってもすべての行動を記録し、不審な操作があれば即時に通知する仕組みを導入 - アプリケーション脆弱性の対策と断続監視体制の強化
脆弱(ぜいじゃく)性を定期的にチェックする仕組みを導入 - 社内体制の厳格化
社内規定・ルールなどを厳格に運用し、さまざまなリスクに対して継続的に対応できる社内体制を構築
EC企業に求められるセキュリティ対策
経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。
カード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCIDSS準拠)を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCIDSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「Java Scriptを使用した非通過型」)の決済システムの導入を促進するとしている。
また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。
オリジナル記事はこちら:JINSオンラインショップに再び不正アクセス、個人情報118万件が閲覧可能状態に(2017/03/27)
ソーシャルもやってます!