本サイトの記事や画像はAIが公的資料や報道を整理し制作したものです。[続きを表示]ただし誤りや不確定な情報が含まれることがありますので、参考の一助としてご覧いただき、実際の判断は公的資料や他の報道を直接ご確認ください。[私たちの取り組み]
ホビー通販サイト「駿河屋.JP」を運営する駿河屋が12月4日、同サイトへの不正アクセスによりクレジットカード情報約3万件超が流出したおそれがあると公表した。8月に明らかにしていた改ざん被害の詳細調査の結果で、原因は導入していた監視ツールの脆弱性を突かれ、決済ページのJavaScriptを書き換えられたことだという。外部ツールの不備が、カードを預けた利用者の不安というかたちで表面化している。
クレカ3万件超の懸念、利用者に求められる備え
8月の段階で駿河屋は、7月下旬から8月上旬にかけて「駿河屋.JP」でカード番号を入力した利用者の情報が外部に送信された可能性があると説明していた。具体的には、7月24日午前1時ごろから8月4日午後4時ごろまでに決済画面で入力された氏名や住所、カード番号などが対象とされている。
今回12月4日の続報で、対象となるクレジットカード情報が3万件を超える規模になり得ることが示された。被害がこの水準に達すると、個々の利用者にとっては、不正利用の有無を確認する手間や、カードの再発行に伴う支払い手段の切り替えなど、見えにくい負担が積み重なる。カード会社側もモニタリングや補償対応のコストを負うことになり、結果として決済全体のコスト構造にも跳ね返る。
PC WatchやITmedia PC USERなどの報道によれば、駿河屋は不正アクセス判明後、クレジットカード決済を停止し、利用者に対して明細書の確認や身に覚えのない請求があればカード会社へ連絡するよう呼びかけている。 一般に、カード利用者は請求履歴を定期的に確認し、不審な取引を見つけた際には速やかに発行会社へ連絡することで、被害の拡大を抑えられる。今回の事案は、ECサイトを利用する際に「カード情報はいつ、どこで扱われているのか」を意識するきっかけにもなりそうだ。
監視ツール脆弱性と「外部スクリプト依存」が突きつける課題
駿河屋によると、攻撃者は同社サイトに組み込まれていた監視ツールの脆弱性を足掛かりに侵入し、クレジットカード決済ページで動くJavaScriptを書き換えたとされる。今回の手口は、決済画面に不正なスクリプトを埋め込み、入力されたカード情報を外部サーバーへ送信させる「Webスキミング」型攻撃の典型例だと指摘する専門家もいる。 経済産業省が公表するクレジットカード決済のセキュリティ資料でも、こうしたペイメントアプリケーション改ざんのリスクが繰り返し警鐘を鳴らされてきた。
ECサイトの画面には、監視やアクセス解析、広告配信など複数の外部スクリプトが読み込まれることが多い。Security NEXTの解説が示すように、どれか1つでも改ざんされれば、利用者の入力情報が盗み取られる経路になり得る。 今回のケースは、サイト運営企業が「自社で作ったコード」だけでなく、「外部から提供される部品」の更新管理や脆弱性対応まで含めて責任を負わざるを得ない現実を浮き彫りにした。
同様のWebスキミング型の攻撃は、女性向け下着ECサイトでカード情報約7万件規模の流出懸念が生じた事案など、他社でも繰り返し報じられている。 こうした事例が積み重なるほど、被害額や調査費用は企業とカード会社が、時間的な負担や不安は利用者が負う構図が強まる。外部ツールを安易に組み込むのではなく、どこまでを自社で検証し監視するのかというガバナンスを明確にしないかぎり、同じ形の事故は今後も起こり得るだろう。
参考・出典
- 「駿河屋.JP」が改ざんされ、クレジットカード情報を含む個人情報が漏えい – INTERNET Watch
- 駿河屋に不正アクセス、クレジットカード情報などが漏洩 – PC Watch
- 駿河屋のセキュリティ事故から学ぶ、Webスキミング攻撃の脅威と対策の重要性 – サイバーセキュリティナビ
- 〖セキュリティ ニュース〗ホビー通販サイトが改ざん被害 – 個人情報流出の可能性(1ページ目 / 全2ページ):Security NEXT
- 女性向け下着ECに不正アクセス、カード情報約7万件が漏洩した可能性
- 第三者不正アクセスによる個人情報漏えいに関するよくあるお問い合わせをまとめました
- 駿河屋、ECサイトに不正アクセス クレカ情報を含む個人情報が漏えいか 8日よりカード決済停止
