- ホーム
- サイバー攻撃 被害事例
- レディス服の販売サイト「MACHATT ONLINE STORE」に不正アクセス、1万6,093件のカード情報漏洩の可能性
2022年5月18日、株式会社machattが運営するレディス服の販売サイト「MACHATT ONLINE STORE」が第三者による不正アクセスを受け、クレジットカード情報(カード名義人名、クレジットカード番号、有効期限、セキュリティコード)1万6,093件が漏洩した可能性があることを公表しました。
Webサイトの過去状況を提供するサービス「インターネットアーカイブ」にて2021年5月31日の同サイトのプログラムを確認のところ、プログラムファイル内に「EC-CUBE(イーシーキューブ)」の記載が確認されました。
▼2021年5月31日時点のプログラムファイル
https://web.archive.org/web/20210531065745js_/https://machatt.jp/js/site.js
同システムについては、2019年5月より決済画面の改ざんによるクレジットカード情報の流出被害が複数報告されたことから、公式サイト上でセキュリティ診断の必要性が喚起されております。また同年12月には、経済産業省からも同様の注意喚起が発表されております。
▼<経済産業省>株式会社イーシーキューブが提供するサイト構築パッケージ「EC-CUBE」の脆弱性等について(注意喚起)(2019/12/20)
https://www.meti.go.jp/press/2019/12/20191220013/20191220013.html
▼<EC-CUBE公式>【重要】サイト改ざんによるクレジットカード流出被害が増加しています(2019/05/09)
https://www.ec-cube.net/news/detail.php?news_id=330
「一般財団法人 日本サイバー犯罪対策センター(JC3)」より、通販サイトの改ざんによるクレジットカード情報窃取の手口が紹介されております。
紹介されている手口では、クレジットカード情報を入力する画面が改ざんされており、入力された情報を窃取していますが、偽のエラーメッセージを表示して、再度、クレジットカード情報の入力を求めます。
その後は正規の決済手続に移行し、決済も正常に完了するため、運営側には改ざん前の通知と差異はなく、注文どおりの商品が後日に届くことから、購入者・運営者ともにクレジットカード情報が窃取されたことを把握することは困難になります。またこのような仕組みのため、カード番号だけでなく、セキュリティコードも窃取されます。
公表内容には個人情報保護委員会への報告は2022年4月27日とあり、2022年2月22日の漏洩懸念から64日経過しています。
2022年4月1日施行の改正個人情報保護法では不正アクセス等、故意による場合は漏洩のおそれも含めて、個人情報保護委員会への報告と本人への通知を義務付けています。また改正法では、速報を5日以内、確報を30日以内(不正アクセスの場合は60日以内)に行う必要があると定められています。
>>【改正個人情報保護法】報告・通知が義務化
【引用】一般財団法人 日本サイバー犯罪対策センター/クレジットカード情報窃取の手口に注意(2019年7月12日)
※一般財団法人 日本サイバー犯罪対策センター:サイバー攻撃の脅威情報の事例や手法を共有することで、脅威の軽減や無効化を目指す非営利団体です。