中小企業の経営者・総務担当者様向け/セキュリティ情報サイト
コーヒー豆販売の通販サイトに不正アクセス、利用者の個人情報が流出の可能性
情報漏えい EC-CUBE ECサイト

合資会社ビーンズゴトーは運営するコーヒー関連販売サイトが第三者によるサイバー攻撃を受け、過去にクレジットカード決済した利用者のうち252件分の情報が流出した可能性があると公表しました。

情報流出
クレジットカード情報を含む個人情報252件が流出の可能性
要因
第三者による不正アクセス

被害企業概要

社名
合資会社ビーンズゴトー
対象サイト
https://www.beans510.com/
本社所在地
東京都江戸川区南小岩7-36-14
事業内容
珈琲豆、生豆、焙煎豆、珈琲関連の商品の販売

実施しておきたい対策

脆弱性診断
脆弱性を速やかに把握できるよう、定期的な脆弱性診断の実施、診断ツールの導入
被害事例では、システムの脆弱性を狙った不正アクセスがあったことを把握しています。定期的な脆弱性診断の実施により、未然に脆弱性を把握し、速やかに補修することで不正アクセスを抑制することが可能になります。
不正アクセス抑止機能
既知の攻撃による不正アクセスからWebサイトを保護する仕組みの導入
発見・公表から間もない脆弱性は補修作業が間に合わないケースも考えられます。被害事例では、具体的な不正アクセス手法は公表されていませんが、他のWebサイトで類似の被害が続出するような、よく使われる不正アクセス手段による改ざんであった場合、不正アクセス抑止機能の導入により、脆弱性の補修が反映されていなくとも、攻撃を抑制できる可能性があります。
保有する情報の内容・数量の定期的な確認
Webサイト内に格納されている情報を定期的に整理する運用ルールの策定と実施
不正アクセス等により、万一、流出事故が発生した場合に備え、被害を受ける方が1人でも少なくなるよう、Webサイトに格納する情報は必要最低限とする運用方針です。個人情報は可能な限り、インターネットが接続されていないオフライン環境へ移し、サーバー上には必要最低限の件数としておくことで、事故の際の被害範囲を最小限に抑えることができます。
※なお、個人情報保護法(第19条)では、個人データを利用する必要がなくなった際には、当該個人データを遅滞なく消去する努力義務が定められています。
個人情報保護法<第19条>データ内容の正確性の確保等
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
引用:e-Gov法令検索

Case Study
その他のサイバー攻撃 被害事例

不正アクセス
情報漏えい
ECサイト
2022年12月26日
食品販売の通販サイトで不正アクセス、クレジットカード情報を含む個人情報が流出の可能性
不正アクセス
情報漏えい
ECサイト
2022年12月21日
衣服通販サイト3店舗に不正アクセス、個人情報が最大18,000件が流出の可能性
不正アクセス
情報漏えい
企業サイト
2022年12月19日
無線製品のサポートセンターへ不正アクセス、メールアドレス情報流出の可能性
すべて見る