ブランド古着通販サイト「ベクトルパーク」に不正アクセス 被害の対象期間は605日間、漏洩懸念から公表まで254日

2022年8月18日、株式会社ベクトルが運営するブランド古着通販「ベクトルパーク」サイトが第三者による不正アクセスを受け、クレジットカード情報 18,136件が漏洩した可能性があることを公表しました。

 

漏洩懸念から公表まで254日(8ヶ月以上)

公表内容には「個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡」とあり、2021年12月7日の漏洩懸念から254日経過(8ヶ月以上)しています。

公表された経緯

2021年12月 7日 岡山県警サイバー対策課より同サイトにおいて情報漏洩の懸念が通知される
2021年12月 8日 所轄警察署へ被害申告
2021年12月29日 同サイトにおいてクレジットカード決済を停止
2022年 6月28日 第三者調査機関による調査が完了
2022年 7月11日 個人情報保護委員会へ漏洩報告
2022年 8月18日 情報漏洩について公表、対象顧客へメール通知

2022年4月1日施行の改正個人情報保護法では不正アクセス等、故意による場合は漏洩のおそれも含めて、個人情報保護委員会への報告と本人への通知を義務付けています。また改正法では、速報を5日以内、確報を30日以内(不正アクセスの場合は60日以内)に行う必要があると定められています。

>>【改正個人情報保護法】報告・通知が義務化

 

 

情報流出
クレジットカード情報 18,136件が漏洩の可能性
要因
脆弱性を狙った不正アクセスによるプログラム改ざん

被害企業概要

対象サイト
本社所在地
岡山県岡山市北区駅前町1-8-1 新光ビル岡山7階
資本金
2,800万円
事業内容
ブランド衣料、バッグ、時計、宝飾品の買取および販売
ネットショップの運営
イベント企画
従業員数
188名

実施しておきたい対策

脆弱性の事前診断
脆弱性を速やかに把握できるよう、定期的な脆弱性診断の実施、診断ツールの導入
被害事例では、システムの脆弱性が狙われ、ペイメントアプリケーションの改ざんがあったことを把握しています。「ペイメントアプリケーションの改ざん被害」はEC-CUBEが導入された通販サイトにおいて複数確認されていたことから、他の被害サイトと同種の脆弱性が存在していたと思われます。定期的な脆弱性診断の実施により、未然に脆弱性を把握し、速やかに補修することで不正アクセスを抑制し、ファイルの改ざんを防ぐことが可能になります。
不正アクセス抑止機能(WAF)の導入
既知の攻撃による不正アクセスからWebサイトを保護する仕組みの導入
被害事例では、実施済みのセキュリティ対策に「WAFを導入し、不正アクセスのリクエストをブロック」が挙げられており、被害前には不正アクセス抑止機能(WAF)が導入されていなかったものと思われます。発見・公表から間もない脆弱性は補修作業が間に合わないケースも考えられ、不正アクセス抑止機能の導入により、脆弱性の補修が反映されていなくとも、攻撃を抑制できる可能性があります。
改ざん検知システムの導入
Webサイトの改ざんを速やかに把握し、被害を最小限に留める仕組みの導入
不正アクセスによりファイルが改ざんされた場合、改ざん検知システムの導入により速やかに検知することが可能です。改ざん検知システムには、検知のみを行うものの他、検知したファイルを過去に取得した安全なファイルに置き換え、自動で修復するシステムがあります。
被害事例では、所轄の警察署からの連絡により漏洩懸念を確認していますが、改ざん検知システムの導入により、漏洩の懸念をより早い段階で検知することが可能になります。
また被害事例の対象期間は、2020年4月27日~2021年12月22日(605日間)と極めて長期に渡っていますが、改ざん検知システムが導入されていれば、より早い段階で調査を開始、対象期間と被害件数を抑えることができた可能性があります。

Case Study
その他のサイバー攻撃 被害事例