ソースネクスト、不正アクセスにより個人情報約12万件が漏えい

2023年2月14日、AI翻訳機「ポケトーク」などの開発元で知られるソースネクスト株式会社は第三者による不正アクセスを受け、顧客のクレジットカード情報約11万件を含む個人情報約12万件が漏えいした可能性があると公表しました。漏えいした可能性のある顧客にはメールで個別に謝罪と連絡を行っているとのことです。既に一部の顧客ではクレジットカード情報が不正利用された可能性があるとしています。^※1

漏えいの原因として、同社の運営するECサイトの一部にあった脆弱性に対して第三者の不正アクセスがあり、ペイメントアプリケーションの改ざんが行われたこととしています。

クレジットカード情報漏えいの対象となるのは2022年11月15日～2023年1月17日の期間内に同社サイトにクレジットカード情報を登録した顧客約11万名で、漏えいした可能性のある情報は「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」です。また個人情報漏えいの対象となるのは2022年11月15日～2023年1月17日の期間内に同社サイトで購入した顧客約12万名で、漏えいした可能性のある情報は「氏名」「メールアドレス（パスワードの漏えいはなし）」「郵便番号（任意）」「住所（任意）」「電話番号（任意）」です。

セキュリティコードなどのクレジットカード情報が流出しているため、同社にてカード情報を保存していたのかと疑う声もありますが、これに対して同社は顧客のクレジットカード情報は一切保有していないと回答しています。本件はWebサーバ上へ不正なコードが追加されたことにより、利用者が注文フォームに入力した情報が外部へ送信されてしまったことが原因としています。^※2

再発防止策として、システムのセキュリティ対策および監査体制の強化を行うとしてます。なお、今回の情報漏えいについては既に個人情報保護委員会、総務省、所轄警察などへ報告済みとのことです。

EC加盟店が漏えいを防ぐためには

今年1月20日に公表された「クレジットカード決済システムのセキュリティ対策強化検討会報告書 ^※3」によると、現在、EC加盟店の多くは「クレジットカード・セキュリティガイドライン」に従い、漏えい対策としてクレジットカード情報を保持しない『非保持化』を選択しています。これにより、クレジット番号等の漏えい被害は極小化し、1事案あたりのクレジットカード番号等の漏えい件数も減少しました。

しかし、今回の事案は、この非保持化を前提に攻撃が仕掛けられています。カード情報入力フォームを改ざんし、顧客が入力した情報をそのまま外部のサーバーへ送信してしまう手法による事案は増加傾向にあり、EC加盟店は非保持化だけでなく、更なる対策が必要です。具体的にはECサイトの脆弱性対策、ソフトウェアのアップデートの実施などが必要になります。

また、多くのEC加盟店が非保持化を選択したことから、PSP（決済代行業者、ECモール事業者等）には保持するクレジットカード番号等が蓄積され、セキュリティ対策の要請は強まっています。PSPは高度なセキュリティ環境・管理体制を構築するため、PCI DSSに基づくシステム構築、さらにそれを形骸化させない運用体制を整えることが必要です。

現在のPCI DSS Ver 4.0は12の要件とそれに紐付く約460の要求事項で構成されており、対象となる範囲においてはすべての要件を遵守する必要があります。弊社のIRMシステム『DataClasys』はPCI DSS準拠に必要な要件を複数満たすことができ、カード会社様に導入いただいた事例もございます。

情報漏洩対策にご興味のある方は是非ご連絡ください。