トップ > セキュリティ動向 > 【ニュースまとめ】不正アクセスでの個人情報およびカード情報がそのまま漏洩?!

【ニュースまとめ】不正アクセスでの個人情報およびカード情報がそのまま漏洩?!

セキュリティ動向 セキュリティインサイト

 

f:id:PentaSecurity:20171024101516j:plain
皆さん、こんにちは。

今週のセキュリティ動向では、最近話題になっている「不正アクセスによる個人情報漏えい事故」について、まとめてみました。ECサイトを運営している方なら必見べきニューズをご紹介いたします。

そして、不正アクセス対策に関する資料や方法をご提示いたします!

 

Magentoの脆弱性を狙った

不正アクセスによりECサイトが改ざん
カード情報1207件が漏えいの可能性あり

f:id:PentaSecurity:20171024095707p:plain

(通販サイト「H&F BELX公式オンラインショップ」で掲載した情報漏洩関連のお知らせ)

 

まず、1番目の事件は9月11日報道された通販サイトへの不正アクセスによるカード情報漏洩事件です。

通販サイト「H&F BELX公式オンラインショップ」が外部からの不正アクセスを受け、クレジットカード情報1207件が流出した可能性があることを発表しました。

「H&F BELX公式オンラインショップ」は、オープンソースパッケージの「Magento」でECサイトを構築していたそうです。ところが、この「Magento」の脆弱性を突いた不正アクセス攻撃があり、webサイトが改ざんされました。

不正アクセスにより会員データや会員のカード情報などの約1,207件の情報が外部に流出される可能性があると伝えました。流出した可能性があるのは、クレジットカード番号やカード名義、住所、有効期限、セキュリティコードなどのクレジットカード情報のほとんどでした。

 

フルッタフルッタECサイトでカード情報流出

セキュリティコード含め、約627名のカード情報漏えい可能性あり

f:id:PentaSecurity:20171024104830p:plain

( カード情報漏えいの可能性がある「フルッタフルッタ オンラインショップ」)

 

続いては、ECサイトフルッタフルッタ オンラインショップ」ECサイト不正アクセス事故に関するニュースです。果実ジュースを販売するフルッタフルッタ オンラインショップが10月5日、約627人分のカード情報が流出された可能性があると発表しました。

ECサイトのWebサーバーに不正アクセスがあり、不正なプログラムが仕組まれたことが原因だとしています。

カード情報が漏洩した可能性があるのは、2017年4月17日から31日までこのECサイトでクレジットカードを利用して、決済を進んだ顧客だそうです。

このサイトでは、今後のセキュリティ対策として、カード情報を自社から保存しない「リンク型システム」に移行する計画を明らかにしています。システムの移転は、10月末を予想しています。

 

ECサイトでの情報セキュリティ対策とは?

上記で紹介した2件のカード情報漏洩事件をみると、とても恐ろしいです。

物を購入する際、各サイトのセキュリティ環境を確認してから、購入することはできないのに、知らずのうちにカード情報が流出され、どこかで悪用されると考えると、クレジットカードの使用が心配になるのです。

しかし、幸いなことに、経済産業省ではECサイトでセキュリティ対策を整えるようにするため、経済産業省主導の「クレジット取引セキュリティ対策協議会」を発足し、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-※1にて、EC事業者は2018年3月までに「カード情報の非保持化」またはPCI DSS」※2を準拠するように方針を掲げています。

「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」の改訂案では、PCI DSSの規格の一つである「PCI P2PE」をおすすめしていますが、これは、会員の敏感な情報をPOS端末から決済が承認されて処理されるサーバまで安全に転送して処理する方式に関する規定です。

一言でいうと「最初から最後まで情報を暗号化しろ!」ということですが、既にこの規定は、米国では導入されている方式で、取引プロセスを安全に保護するという点でグローバルで認められています。この規格は、改正されたガイドラインから初めて言及されることにより、カード業界およびセキュリティ業界から注目を集めています。

 

ペンタセキュリティでは、既にこういうガイドラインや方針を徹底的に充足しているソリューション「D’Amo for POS」をECサイトやクレジットカード加盟店に提供しています。このソリューションを通じて、ガイドラインが要求するセキュリティニーズを充足させ、お客様のクレジットカード情報をさらに安全に保護するセキュリティ対策を備えてください。

 

 

関連リンク≫

  • ※1 クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017- リンク先 ▼

関連資料 | 安全・安心なクレジットカード取引への取組み | 一般社団法人日本クレジット協会

  • ※2 PCI DSS(Payment Card Industry Data Security Standard): 加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用・管理されています。 
  • 参考:急増しているクレジットカード情報流出、そのセキュリティ対策は難しい?

    www.pentasecurity.co.jp

 

「D’Amo  for POS」の詳しい情報は、こちらから確認できます。

POSセキュリティ」の詳しい内容は、こちらから確認できます。

 

f:id:PentaSecurity:20170706174005p:plain

関連記事
  • 5つのキーワードで知る2024年サイバーセキュリティ脅威トレンド予測 5つのキーワードで知る2024年サイバーセキュリティ脅威トレンド予測 はてなブックマーク - 5つのキーワードで知る2024年サイバーセキュリティ脅威トレンド予測
    2023年はChatGPTをはじめとした大規模言語モデルの登場など、ITの世界に大きな変革が起きた年といえると思います。サイバーセキュリティにおいては、ランサムウェアの被害が2018年以来最大の件数となり、LINEや富士通といった大手IT企業における情報漏洩も発生するなど、サイバーセキュリティの重要性が再認識されるような…
  • 自治体セキュリティガイドラインとは?最新の被害事例と対策も紹介 自治体セキュリティガイドラインとは?最新の被害事例と対策も紹介 はてなブックマーク - 自治体セキュリティガイドラインとは?最新の被害事例と対策も紹介
    近年、自治体を狙ったサイバー攻撃が多発しています。自治体では住民の福祉の増進を図ることを基本業務として、住民の生活に役立つ様々なサービスを提供しており、必然的に氏名、生年月日、住所などたくさんの個人情報を取り扱っているためです。サイバー攻撃により住民情報が盗まれたりサービスが停止に追い込まれたりす…
  • 【2023年最新】ランサムウェアの特徴!感染する仕組みや被害を防ぐ対策を解説 【2023年最新】ランサムウェアの特徴!感染する仕組みや被害を防ぐ対策を解説 はてなブックマーク - 【2023年最新】ランサムウェアの特徴!感染する仕組みや被害を防ぐ対策を解説
    昨今、ランサムウェアにより企業が攻撃され、個人情報が盗まれたり、多額の身代金を要求されたりする事態が後をたちません。最近では、多くの企業でVPNやリモートデスクトップ接続が行われており、その脆弱性を突き、ランサムウェア攻撃が行われている場合が多いです。 ランサムウェアは、200種類以上を超え、感染経路もか…
  • Chat GPTによる個人情報漏洩のリスクと生成AIの未来 Chat GPTによる個人情報漏洩のリスクと生成AIの未来 はてなブックマーク - Chat GPTによる個人情報漏洩のリスクと生成AIの未来
    2022年11月30日にリリースされ、わずか2ヶ月で利用者数が1億人になったChatGPT。人間のように自然な言語処理が可能であり、個人だけでなく、企業や自治体でも導入が進んでいます。 ChatGPTの利用者数が増えるにつれ、個人情報漏洩の懸念が示唆されています。そのため、企業は重要な個人情報が流出し、信頼を失わないために…

PentaSecurity


コメントを書く