今月、タリーズコーヒージャパンは9万2000件超の顧客の個人情報漏えいの可能性があると発表した。そのうち約5万3000件はクレジット情報で、カード番号だけでなくセキュリティコードも含まれた状態で流出しているという。恐ろしいのは、タリーズのWebサイトは改正割賦販売法や日本クレジット協会のガイドラインに沿った対応をしていたにもかかわらず、これほど大規模に情報漏えいしてしまったということだ。もっと小規模なECサイトはどう対応したらいいのか。そして、こうしたケースに巻き込まれて自分の個人情報やクレジットカード情報が漏れてしまった場合、今すぐやるべきこと六つを紹介する。(ITライター 大和 哲)
過去最大級のカード情報流出事件の衝撃
10月3日、タリーズコーヒージャパンは、同社が運営する「タリーズ オンラインストア」に不正アクセスがあり、大規模な個人情報漏えいの可能性があることを公表した。同社の発表によると、顧客の個人情報9万2685件が漏えいした可能性があり、その中にはクレジットカード情報5万2958件が含まれるという。
個人情報9万件超も大きいが、この事態の重大さは、流出したクレジットカード情報にセキュリティコードまで含まれていた点にある。つまり、第三者が他のECサイトで不正に使用できる完全な形でカード情報が流出したことになるからだ。過去の事例を見ても、ソースネクスト(約11万2000件、2023年)や、メタップスペイメント(最大約46万件とも言われるが件数は特定できず、2021年)などに次ぐ、極めて深刻なクレジットカード情報流出事件といえる。
対策されているはずのECサイトから、なぜ、このように膨大な数の、完全な形のクレジットカード情報が漏えいしたのだろうか?
巧妙化する攻撃手法とその実態
近年のECサイトでは、セキュリティ対策として、パスワードのハッシュ化(復号できない形で保存し、盗まれても使えないようにする)や、クレジットカード番号やセキュリティコードを保持せず都度顧客から聞くようにするなど、様々な防御策が講じられている。これによって、万が一データが流出しても、個人情報の中でも致命的なデータが漏えいしないように工夫してきたのだ。
しかし、攻撃者(クラッカー)たちは、そうした防御網を突き破る新たな手法を編み出している。偽物のフィッシングサイトを作ってカード情報を盗んだり、本物のオンラインストアにスキミングを仕掛けたりして、ユーザーの大事な情報を盗み見ることにしたのだ。
今回の件は、後者に当たる。本物のタリーズのオンラインストアサイトに、攻撃者が不正なコードを仕込み、ユーザーが入力したデータが筒抜けになるような仕掛けがされていたのだ。タリーズコーヒージャパンの公表内容によれば、2021年頃からこの仕掛けが埋め込まれていたという。