ソースネクストの情報漏洩はなぜクレカのセキュリティコードまで漏洩?

当サイトの記事には広告が含まれます

ソースネクストで大規模な情報漏洩が発生しました。以下の情報が盗まれています。

本人の個人情報 120,982件

  • 氏名
  • メールアドレス(パスワード漏洩はしていない)
  • 郵便番号(任意入力項目)
  • 住所(任意入力項目)
  • 電話番号(任意入力項目)

クレジットカード情報 盗まれた個人情報のうち 112,132件

  • カード名義人名
  • クレジットカード番号
  • 有効期限
  • セキュリティコード

特にこれだけの数のクレジットカード情報が盗まれたのは致命的です。セキュリティコードまで盗まれているので、犯人は被害者のクレジットカードを使って全世界のECサイトでオンラインの買い物がし放題になっています。

2023年1月4日にクレジットカード会社から情報漏洩の懸念について連絡を受けて、1月5日にカード決済を停止、第三者機関による調査を開始しています。

1月5日に自社のカード決済を停止したとありますが、それはこれ以上の個人情報が漏れることを防ぐ意味しかありません。今回はクレジットカードの重要情報が全て盗まれた事案なので、そんな対処だけでは役に立ちません。速やかに事実公表をして、ソースネクストのサイトで決済をした人全員に不正な取引が発生していないか?という確認をしてもらうべき事案です。

しかし、公表をしたのは、1ヶ月以上経った2月14日です。調査が終了したのは1月23日ということなので、それからも3週間経っています。この間に不正利用されたらどうするつもりだったのでしょう。

今回は、2022年11月15日から2023年1月17日の期間に同社WEBサイトで購入した利用者の情報が漏れているとされています。ここも理解できない。

1月4日にクレジットカード会社から連絡を受け、1月5日にはカード決済を停止しているのに、なぜ1月17日まで情報が漏洩し続けているのでしょう?

なぜ、クレジットカードのセキュリティコードが漏れたのか?、報道の記事を読んだときは疑問に思いました。まさか、セキュリティコードを自社サイトに保存することはあり得ない運用だからです。

ここは、ソースネクスト社のリリースを読んで分かりました。データベースに保存されている情報が盗まれたのではなく、ペイメントアプリケーションが改ざんされて、決済手続きをしているところで情報が抜き取られたためです。

ウェブサイトの改ざん防止の仕組みはどんなシステムが取り入れられていたのか、その仕組みがなぜ有効に機能しなかったのか、再発防止策として何を実施するのか、本来はどの時点で公表すべきだったのか等、第三者委員会も含めて今後他のECサイトでも教訓として活用できるよう公表を進めて欲しいです。

コメント