株式会社ウェブシャークからカード情報が流出し不正利用が発生、経産省が報告の徴収を実施

オンラインショッピング、アフィリエイトなどのサービスを行っている株式会社ウェブシャーク(大阪市中央区)が、自社が運営するオンラインショッピングサイトに不正アクセスがあり、顧客のクレジットカード情報約9万件が流出した可能性があると、10月31日付けで、顧客に対して電子メールで案内したようです。

同社のメールによると、流出した可能性があるのは、同社のオンラインショッピングサイト「ストアミックス」「ドクタートニー」からで

 クレジットカード決済を利用した顧客のクレジットカード情報(会員番号、有効期限、カード名義)

 実際に流出が確認できたのが98件

 サーバー上には94,243件のデータが存在しており、この全てが流出した可能性がある

とのことです。

また、不正アクセスは、2011年11月14日~11月30日にかけて断続的に中国のIPアドレスから行われたそうです。攻撃手法としては、バックドアによる不正侵入とSQLインジェクションとされていますが、この2つの関連性は不明です。

同社では、一定の対策をしたようですが、サービス自体は停止せず、そのまま運営を続けています。カードの再発行費用の負担なども行う予定はないようです。

ただし、報道によると、カードの不正利用で約2千万円の被害が出た可能性があるとのことで、これはあまり小さな規模の被害ではありません。

今回の事態に対して、経済産業省は、10月30日付で、個人情報保護法第32条に基づく報告の徴収を行いました。今回の事件の詳細や再発防止策などを11月13日までに提出するよう求めているとのことです。

同社公式サイト

http://www.webshark.co.jp/

「海外からの不正アクセスに関するクレジットカード情報漏洩の可能性について」

http://www.webshark.co.jp/news/180.html

「カード情報漏洩についてのメールを受け取ったお客様へ」

http://www.webshark.co.jp/news/183.html

株式会社ウェブシャークに対する個人情報保護法に基づく報告徴収(経済産業省)

http://www.meti.go.jp/press/2012/10/20121030010/20121030010.html

今回の事件に対する同社の対応の不十分さは目に余ります。報道が事実とすると、カード会社から利用停止を食らってもおかしくないのですが、どうなっているんでしょうね。

「保険ゲート」からセンシティブ情報含む約1万件の個人情報が流出

SEO事業、Webソリューション事業などを営む株式会社ウィルゲート(東京都渋谷区)は、10月20日付で、自社が運営する保険見直しサービス「保険ゲート」のシステム上の設定にミスがあり、センシティブ情報を含む相談者の個人情報約1万件が流出したと、発表しました。

同社では、保険見直しを希望する相談者が申し込みフォームに入力した内容をメールに変換して受信していたようです。しかも、この受信アドレスが、社内業務用のメーリングリスト(複数の人に同時にメールを配信する仕組み)のアドレスだったのですが、そのメーリングリストの転送先(約50程度とのこと)の中に関係者ではないメールアドレスが13件登録されており、相談者のセンシティブ情報を含む個人情報がそれら関係者ではないアドレスに流出したとのことです。

流出したのは

(1)2012年3月1日から6月27日までの間に保険ゲートに相談した人の「氏名」「生年月日」「職業」「住所の一部(都道府県市区町村)」5,905件

(2)2012年6月28日から9月30日までの間に保険ゲートに相談した人の「氏名」「生年月日」「職業」「電話番号」「メールアドレス」「持病情報」「服用薬」「世帯年収」「配偶者情報」5,588件

とのことで、特に(2)の「持病情報」「服用薬」は身体に関する情報にあたりますので、プライバシーマーク制度上のセンシティブ情報(特定の機微な情報)です。

同社では、「保険ゲート」の全サービスを停止して、現状調査、関係者へのお詫び、原因究明と再発防止策などを行っているようです。

http://www.willgate.co.jp/

http://www.willgate.co.jp/20121024.html

http://www.hokengate.jp/

今回の事件が発覚する前の同社のシステムには何重にも問題があります。

(1)そもそも、センシティブ情報を含む個人情報を、電子メールの形式でインターネット上を平文で(暗号化しないで)流すべきではありません。同社はプライバシーマーク認定事業者です。この状態でプライバシーマークの審査が行われれば、間違いなく指摘されることでしょう。

(2)また、センシティブ情報をメーリングリストで多数の関係者で共有すべきではありません。共有先が関係者に限られていたとしても、何十人もの関係者のメールの受信簿に大事な顧客のセンシティブ情報が大量に蓄積されるようでは、パソコンの紛失・盗難や、社員が悪意を持って流出させる可能性があるなどいずれにせよ大きなリスクを抱えることになります。

(3)さらに、メーリングリストの配信先に見知らぬアドレスが含まれていたということから考えると、メーリングリストの配信先などの管理が外部から可能となっていた可能性があります。メーリングリストという仕組みは、古くからインターネット上で使用されていますが、様々な脆弱性が残っており、センシティブ情報を取り扱うに足るような高いセキュリティを実現できる仕組みではありません。

私が同社に電話で問い合わせたところによると、同社では現在のようなフォームメールとメーリングリストを組み合わせたシステムでの運用はやめて、もっとセキュリティの高い仕組みに切り替えていくとのことでした。当然のことだと思いますし、そのことも公表していただいたほうがいいと思います。

執筆者紹介

中康二

オプティマ・ソリューションズ株式会社 代表取締役

多くの企業において、プライバシーマークの導入支援を行っている個人情報保護のプロ。著書「新版 個人情報保護士試験 完全対策」(あさ出版)、「〈図解〉個人情報保護法 - 中小企業・個人事業者にも役立つビジュアル対策マニュアル」(共著、朝日新聞社)など。

情報提供: プライバシーマーク・個人情報保護blog @pmarknews