清楚咲夜の日記

何らかの研究をしている私が、趣味について綴るブログです

ECオーダーのクレカ漏洩問題の要約

ECオーダーのクレカ及び、個人情報漏洩の件で一段落つきました。

ホビックス株式会社から正式に「ECオーダー」の件について発表がありました。

一部引用しながら要約をしていきますと

流出時期

2019年1月19日から2019年6月26日 上記期間内に、弊社ECオーダー.comにてクレジット決済をご利用頂いたお客様が対象でございます。

 約5ヶ月間でECオーダーを利用したグッズ購入をした人全てに可能性がある。

 

流出した情報

流出の可能性のあるクレジットカード情報データは最大で7,467件。 流出した可能性のある情報については以下の通りでございます。 ①カード番号 ②有効期限 ③カード名義人名 ④セキュリティコード

つまり、クレジットカードに記載されている情報全て。

 

原因

弊社ECオーダー.comではクレジットカード情報を保持しない仕様として構築しておりましたが(中略) 通信販売ご注文時に入力頂いたクレジットカード情報が、不正に取得された可能性

三者のアクセスによって改竄され、本来保持されないはずのクレジットカード番号が第三者によって保管されてしまった。

 

対策方法

2019年6月26日にカード会社から決済代行会社を通じて、弊社オンラインショップで情報流出の懸念がある旨連絡を受け、被害拡大防止のため直ちにオンラインショップの稼働を停止(中略)第三者機関より指摘されたシステムの脆弱性および管理体制の不備な点につきまして、実施可能な施策を行なうとともに、更なるセキュリティの強化・改修を進めております。

全面的なセキュリティ対策。(ただし具体的な策については述べていない)

カード会社から決済代行業者(セディナとかの代行)を経由して報告されたと言うこと。

 

なぜ公表が遅れたのか

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社から、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は第三者機関による調査結果、およびカード会社との連携後という判断に至りました。

不確定情報(流出したか不明な)段階で公表をすると混乱を招くから。

被害を最小限にするために報告が遅れた。

※個人的な意見になってしまいますが、「流出した可能性」が分かっている時点で情報を流した方が良かったのでは?と思います。間違っていたら訂正メールくらい送れますし、被害を最小限にするにはあらかじめ情報を提供するのが一般的な考えだと思います※

ECオーダーからのお願い

 現在、クレジットカード会社による監視システムにて不正利用の防止のための管理をお願いしておりますが、念のため、該当のお客様におきましては、カードご利用明細をご確認いただき、不審な請求がございました場合は、ご利用されているクレジットカード会社へのご連絡をお願い申し上げます。(お問い合わせ先は、クレジットカード裏面に記載がございます。)

 つまり、クレジットカードの明細を確認してほしいということ。

 

ここまでが要約です。

 

改めて、被害に遭われた方・対象期間(2019年1月19日から2019年6月26日)にECオーダーを利用された方については以下の通り、ネットサービスを経由したクレジットカードの利用状況の確認を促します。

※こちらの記事と同内容です。

 

私の登録してあったカードは「JCBカード オリジナルシリーズ」と呼ばれるものですが、本家JCBです。例としてご確認ください。

f:id:SeisoSakuya:20190715193417p:plain

MyJCBにログインします

f:id:SeisoSakuya:20190715193548p:plain

カードご利用状況から「ご利用可能額参照」を選びます

f:id:SeisoSakuya:20190715193843p:plain

ご利用可能額ご利用残高注意深く確認しましょう。

 

今回はそれに加えて「カードご利用代金明細照会」から、該当期間(2月~8月請求分)についても確認をした方が良いかと思います。