中小企業の経営者・総務担当者様向け/セキュリティ情報サイト
生活雑貨販売サイトに不正アクセス、個人情報5,009件流出の恐れ
不正アクセス 情報漏えい ECサイト
2021年3月24日、株式会社ゆとりの空間は運営する通販サイト「ゆとりの空間オンラインショップ」にて、新規会員登録時に登録された顧客の個人情報(住所/氏名/性別/電話番号/メールアドレス/パスワード等)5,009件が流出した可能性があると公表しました。
加えて2021年4月21日、同サイトでクレジットカード情報の登録または決済が行われた4,509件のクレジットカード情報(セキュリティコードを含む)についても、漏洩した可能性がある旨を公表しました。
情報流出
住所・氏名等を含む個人情報5,009件と、
セキュリティコードを含むクレジットカード情報 最大4,509件が流出の可能性
要因
脆弱性を狙った不正アクセス
想定被害額
約1,021万円 上記に加え、顧客離れの恐れあり
※想定被害額:東京海上日動予想損失額シミュレーションを利用した当サイト独自試算結果

被害企業概要

商号
株式会社ゆとりの空間
所在地
〒152-0003 東京都目黒区碑文谷5丁目9番8号
事業内容
オリジナル食器、調理道具、婦人アパレル製品、キッチン雑貨の企画、製造、販売等
資本金
5,000万円
従業員数
200名

実施しておきたい対策

脆弱性診断
脆弱性を速やかに把握できるよう、定期的な脆弱性診断の実施、診断ツールの導入
被害事例では、システムの脆弱性を狙った不正アクセスがあったことを把握しています。定期的な脆弱性診断の実施により、未然に脆弱性を把握し、速やかに補修することで不正アクセスを抑制することが可能になります。
不正アクセス抑止機能
既知の攻撃による不正アクセスからWebサイトを保護する仕組みの導入
被害事例では、新規会員登録ページ、クレジットカード支払いページの改ざんに伴う情報漏洩とあり、通販システム「EC-CUBE(3.x系)」に内在する脆弱性を狙った不正アクセスと推測されますが、よく使われる不正アクセス手法による攻撃であった場合、不正アクセス抑止機能の導入により、脆弱性の補修が反映されていなくとも、攻撃を抑制できる可能性があります。
保有する情報の内容・数量の定期的な確認
Webサイト内に格納されている情報を定期的に整理する運用ルールの策定と実施
不正アクセス等により、万一、流出事故が発生した場合に備え、被害を受ける方が1人でも少なくなるよう、Webサイトに格納する情報は必要最低限とする運用方針です。個人情報は可能な限り、インターネットが接続されていないオフライン環境へ移し、サーバー上には必要最低限の件数としておくことで、事故の際の被害範囲を最小限に抑えることができます。
※なお、個人情報保護法(第19条)では、個人データを利用する必要がなくなった際には、当該個人データを遅滞なく消去する努力義務が定められています。
個人情報保護法<第19条>データ内容の正確性の確保等
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
引用:e-Gov法令検索

Case Study
その他のサイバー攻撃 被害事例

不正アクセス
WordPress
企業サイト
2023年8月22日
イトーキエンジニアリングサービスが不正アクセス被害、改ざんにより一時サイト閉鎖(WordPressの脆弱性が狙われたか)
不正アクセス
WordPress
企業サイト
2023年4月3日
新潟医療福祉大学公式サイトが不正アクセス被害、改ざんにより一時サイト閉鎖(WordPressの脆弱性が狙われた模様)
不正アクセス
情報漏えい
EC-CUBE
ECサイト
2023年3月28日
13名の組織が運営するフレグランス・コスメ通販サイトに不正アクセス、個人情報が最大16,347件漏洩の可能性
すべて見る