(概要
ヨーロッパ衣料の販売・卸・店舗運営などを手がけるリデアの通販・ECサイトで、カード情報などの顧客情報が漏えいしました。同社が運営するWebサイト「カミチャニスタ」が外部から不正プログラムによる攻撃を受けたことによる漏えいだそうです。当ウェブサイトはクレジットカード情報保護のための国際的な情報セキュリティ基準「PCI-DSS」に準拠したウェブサイトの構築と運営体制をとっていました。
漏えいの対象は、「カミチャニスタ」で2016年1月25日~2016年3月2日の間にカード決済を利用したユーザーのカード情報744件です。漏えい情報にはカード番号、有効期限、セキュリティコードが含まれていたようです。なお、「カミチャニスタ」は3月2日にサイトを閉鎖しています。
タイムライン
2016年3月2日(水)
リデアがカード流出の可能性を把握。
2016年3月3日(木)
カードブランド5社から認定を受けた第三者調査機関PAYMENT CARD FORENSICS株式会社に調査を依頼。
2016年3月24日(木)
調査機関より最終報告を受け、流出情報の内容などが明らかになる。
2016年3月31日(木)
警察署に相談。
2016年4月1日(金)
情報流出を公表。
原因
弊社の見解
PCI-DSSに準拠したといえど、認証取得をしていた訳ではないので、該当ウェブサイトの運用情報セキュリティレベルが不十分だったと考えられます。その他には、定期的なセキュリティ精査も欠いていたと予想されます。
被害
カード決済を利用したユーザーのカード情報744件の流出。なお、2016年4月8日現在、流出した情報による二次被害は報告されていません。
対応
リデアは流出した情報の不正利用防止のため、各クレジットカード会社の協力を得て、不審な利用の監視を強化しています。さらには本件に関するお客様問い合わせ窓口を設けています。
関連情報
LIDEA「詳細と経緯について」(2016/04/01)
ネットショップ担当者フォーラム「セキュリティコード含むカード情報744件流出、リデアの「カミチャニスタ」に不正攻撃」(2016/04/04)(魚拓)
