|
【状況】
資生堂子会社のイプサが不正アクセスを受けた問題の調査結果を追公表。
オンラインショップの登録個人情報(顧客の氏名や住所、電話番号、性別、生年月日、職業、メールアドレス、ログインパスワード、購入履歴など)42万1313件に加え、未登録の150件流出。
さらにクレジットカード情報(会員名、番号、住所、有効期限)も、当初の5万6,121件以外に、9,699件が情報漏えいした可能性。
【経緯・原因】
通販サイトへの不正アクセスによる顧客情報が流出が2016年11月に決済代行業者の指摘で発覚。
2015年12月から不正アクセスがあり、2016年8月、10月に同じ攻撃者による2台のウェブサーバ攻撃によりバックドアが設置された。
本来クレジットカード情報を保持しない設計としていたが、立ち上げ時に利用していたデバッグモードのまま運用し、決済処理のログが残っていた。
またサイトの開発事業者から保守運用事業者に情報が引き継がれておらず、デバッグモードのまま運用。
【対応】
eコマースサイトの再構築を進め、クレジットカード情報を同社サイト上で入力を求めない決済システムを導入予定。
運用体制見直しを実施し、6月にサイトを再開予定。 |