ソースネクスト購入者の個人情報・カード情報、漏洩のメカニズム

プロジェクトオーガナイザの吉田聖書よしだみふみです。

2月14日にソフトウェアを開発・販売するソースネクストがプレスリリースを出しまして、自社のECサイトで購入した顧客の個人情報とカード情報が漏洩したと発表しました。

当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(2023/2/14 ソースネクスト株式会社)

情報漏洩した件数としては、個人情報が約12万件、カード情報が約11万件ということです。この差分は、恐らくクレカ以外の方法で決済した顧客の数だろうと思われます。プレスリリースによると今年の1月4日にカード会社からの指摘を受けたそうです。そして、その翌日にカード決済を停止したとのことですが、ECサイトそのものは停止しなかったので、その間に購入した顧客の数もその差分に含まれているのでしょう。

漏洩したカード情報の項目として、カードの番号や名義、有効期限だけでなく、セキュリティコードが含まれています。カード会社からの指摘で情報漏洩に気付いたということですから、カード情報を不正に利用されたということになります。

「セキュリティコードも漏洩した」と聞いてしまうと、これまでの他社の情報漏洩事故でもあったように「保存してはいけないセキュリティコードを保存していたのか!?」と憤りたくなりますが、プレスリリースを読む限りはそういう話ではなさそうです。もし、不正にアクセスされた対象がデータベースであれば、セキュリティコードを保存していたんだなということになりますが、そうではないということです。

プレスリリースによると、今回の情報漏洩の原因は「ペイメントアプリケーションの改ざんが行なわれたため」とあります。つまり不正にアクセスした第三者によって決済処理のプログラムが書き換えられたということであって、カード情報をデータベースに保存していたわけではないということです。プレスリリースのページからリンクされているFAQの28番目にも「弊社ではクレジットカード情報を弊社データベースに保存する仕組みにはなっておりません」との記載がありますから、それは間違いないでしょう。

プログラムの改竄の内容については詳しく書かれていないので、ここからは私の推測になります。今回のプログラムの改竄は、いわゆるフィッシングサイトのような完全に偽物のサイトに置き換えたのではなく、正常なECサイトの決済処理は残しつつ、つまり普通に購入はできるんだけれども、購入者の情報を別のサーバーにもこっそり送信するような処理を差し込んだと考えると辻褄が合います。


※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。


また、情報漏洩の可能性があるのは「2022年11月15日~2023年1月17日までの期間のみであることが判明しております」と断言していますので、社内でしっかりと調査した結果、昨年の11月15日の不正アクセスの痕跡が見つかったということなのでしょう。そして、FAQのページにも「一部システムに脆弱性があったことが判明しました」という記述があるので、その脆弱性に完全に対処できたのが今年の1月17日だったということが読み取れます。

ソースネクストは有名だし、上場企業だからWebサイトで購入しても大丈夫…と思ってしまいがちですが、こういう事故が起こってしまうと、いつでもどこでも自分は被害者になり得るんだなということをあらためて思わされました。今回の不正アクセスの突破口となった脆弱性がどのようなものか書かれていません。もしかしたら公表したくないかもしれません。ですが、今回の件は(今回の件に限りませんが)他の会社にとってもセキュリティ対策を見直す契機になるので、差し支えない範囲で公表してもらえたらと願います。



関連記事

プロマネの右腕

クロスイデアでは、新サービス・新ビジネスの 立上げや計画を中心に
プロジェクトマネジメントの支援を行っています。

新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html

YouTubeにて動画配信中!

プロジェクトマネジメントのノウハウを
YouTubeで配信しています。
ブログと併せてご活用ください。

Comments are closed.