クリーニングサービスサイトに不正アクセス、クレジットカード情報5万8,813件 流出の恐れ
2021年4月5日、株式会社ヨシハラシステムズは運営するオンラインクリーニングサービスサイト「せんたく便」にて、クレジットカード情報を登録顧客のクレジットカード情報、最大5万8,813件が流出した可能性、加えてその一部で不正利用の可能性があると公表しました。
情報流出
クレジットカード情報5万8,813件が流出の可能性
要因
脆弱性を狙ったデータベースへの不正アクセス(SQLインジェクション攻撃)
想定被害額
約4,834万円 上記に加え、顧客離れの恐れあり
※想定被害額:東京海上日動予想損失額シミュレーションを利用した当サイト独自試算結果

被害企業概要

所在地
〒522-0026 滋賀県彦根市大堀町380-1
事業内容
衣類・寝具等のクリーニング事業
資本金
1,373.5万円
従業員数
280名

実施しておきたい対策

脆弱性診断
脆弱性を速やかに把握できるよう、定期的な脆弱性診断の実施、診断ツールの導入
被害事例では、システムに脆弱性が存在し、脆弱性を狙った不正アクセスがあったことを把握しています。脆弱性情報は日々更新され、システム構築時には確認されていなかった脆弱性が後日、公表されることもあります。可能な限り短い間隔にて定期的な脆弱性診断の実施を行うことで、未然に脆弱性を把握し、速やかに補修することで不正アクセスを抑制することが可能になります。
不正アクセス抑止機能
既知の攻撃による不正アクセスからWebサイトを保護する仕組みの導入
不正アクセス抑止機能は提供事業者により、日々アップデートされ、新たな攻撃・脅威からWebサイトを保護する役割があります。このため、構築時点では確認されなかった脆弱性、脆弱性の補修が反映されていない状態において、攻撃の抑制に大きく貢献します。
なお、被害事例では2021年4月27日で不正アクセス抑止機能(クラウド型WAF「攻撃遮断くん」)の導入を公表しています。
保有する情報の内容・数量の定期的な確認
Webサイト内に格納されている情報を定期的に整理する運用ルールの策定と実施
不正アクセス等により、万一、流出事故が発生した場合に備え、被害を受ける方が1人でも少なくなるよう、Webサイトに格納する情報は必要最低限とする運用方針です。個人情報は可能な限り、インターネットが接続されていないオフライン環境へ移し、サーバー上には必要最低限の件数としておくことで、事故の際の被害範囲を最小限に抑えることができます。
※なお、個人情報保護法(第19条)では、個人データを利用する必要がなくなった際には、当該個人データを遅滞なく消去する努力義務が定められています。
個人情報保護法<第19条>データ内容の正確性の確保等
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
引用:e-Gov法令検索

Case Study
その他のサイバー攻撃 被害事例