資生堂の子会社のイプサの公式サイトに、不正アクセスがあり、クレジットカード情報を含む顧客情報が流出しました。
クレジットカード情報が流出するのは、マジで怖いですよね?
資生堂は2日、化粧品子会社のイプサ(東京・港)の通販サイトに外部から不正アクセスがあり、顧客の個人情報が流出した可能性があると発表した。流出した可能性があるのはクレジットカード情報が最大約5万6千件。クレジットカード以外では氏名や住所、電話番号など約42万1300人分に上る。
↓専用サイトで流出した個人状についての詳細が記載されています。
(1)クレジットカード情報
対象:2011年12月14日~2016年11月4日(第三者調査機関の調査結果に基づく最大期間)に「イプサ公式オンラインショップ」においてクレジットカード決済されたお客さま
項目:カード会員名、カード番号、住所、カード有効期限
※パスワード、セキュリティーコードは含まれておりません
(2)イプサ公式オンラインショップにご登録の個人情報
対象:イプサ公式オンラインショップにご登録の全てのお客さま
項目:氏名、性別、生年月日、年齢、職業、電話番号、メールアドレス、ご登録住所、配送先住所、ログインパスワード、購入履歴
イプサの対応
専用相談窓口を設けて対応にあたっています。
- フリーダイヤル:0120-62-9020
- 受付時間:9:00~20:00(土日祝も)
カゴヤでもあったクレジットカード情報の流出
直近だと、カゴヤでも顧客情報とクレジットカード情報の流出がありました。
レンタルサーバーで顧客情報の流出があっちゃまずいよね。
カゴヤは、電話サポートが非常に優秀です。電話サポートが、平日は22時まで、土日祝祭日も17時まであるのは驚異的ですから。今までは、クライアントからオススメのレンタルサーバーを聞かれると、カゴヤを薦めてきました。
この事件の発覚後は、Xserverを薦めています。今までカゴヤを利用しているクライアントには、決済方法をクレジットカード以外で利用するようにしてもらっています。
このたび、弊社がお客様に提供しております契約情報データベースサーバーに対し第三者による不正アクセスがあったことが発覚し、不正アクセスの全容解明ならびに被害状況の調査を進めてまいりました。
調査の結果、サーバーに保管していたお客様のクレジットカード情報を含む個人情報が不正アクセスにより外部に流出した可能性があることが判明いたしました(以下、「本件」といいます)。
(1)流出の対象期間:2015年4月1日~2016年9月21日 ※脆弱性があった期間を想定
(2)原因・不正アクセスの手口 第三者の不正アクセスにより、OSコマンドインジェクション(※)の脆弱性を利用されて、 DBサーバー内の情報を不正取得された。
(※)OSコマンドインジェクションとは、閲覧者からデータの入力や操作を受け付けるような WEBサイトでプログラムに与えるパラメータにOSに対する命令文(コマンド)を紛れ込ませて 不正に操作する攻撃のことです。(3)流出の規模(疑いを含む) ①個人情報の件数:48,685件(人数) ②クレジットカード情報の件数:20,809件(カード番号の数) ※2016年9月21日までに弊社をご利用いただいた全てのお客様が対象となります。 (すでに解約されたお客様を含みます。)
(4)流出した情報(疑いを含む) ①氏名(カード名義人名) ②住所 ③電話番号 ④メールアドレス ⑤ご契約アカウント名・パスワード ⑥クレジットカード番号 ⑦有効期限
解約したユーザーのクレジットカード情報を所持してるのはまずいよね。
カゴヤの対応
顧客情報が流出したあとのカゴヤの対応は以下のとおりです。
クレジットカード情報が流出していることもあって、フリーダイヤルの問い合わせ窓口を開設しています。
- フリーダイヤル:0120-102-291
- 受付時間:10:00〜18:00(月〜金)
顧客情報が流出したユーザーにはQUOカード 500円分を送っています。
わたくしもテストサーバーとしてカゴヤのレンタルサーバーを1つ借りていますが、QUOカードが送られてきましたから・・・
グラフィックでの顧客情報流出
印刷通販のグラフィックでも顧客情報とクレジットカード情報の流出がありました。
先般の発表時には、「弊社はクレジットカード情報をお客様からお預かりしていないため、クレジットカード情報の流出はございません。」とご説明しておりましたが、このたびの調査の結果、顧客DBSにお客様のクレジットカード情報が保管され、かつ当該不正アクセスによってその一部が流出していたことが判明いたしました(以下、「本件」といいます)。
(1)流出の規模
①流出した情報の数
395件
395件の情報が流出した事実は確認されておりますが、どのお客様の情報かの特定が不可能な為、2010年7月21日から2016年7月23日(※)までにクレジットカード決済サービスを利用した全てのお客様の情報(192,594件)を流出の可能性のある情報とさせて頂きます。
※本年7月23日以降の不正アクセスはございませんでした。
②流出の疑いのある情報
・クレジットカード番号
・セキュリティコード(3もしくは4桁の確認番号)
・有効期限
(これら3つの情報を以下、「カード情報」といいます)
・グラフィック会員ID(2)情報流出の原因
中国籍サーバからの不正アクセスが原因でございます。
弊社がWeb上でクレジットカード決済サービスを開始したのは2007年でございます。
運用開始当時は、お客様が入力したカード情報は弊社のサーバを通らず、記録しないシステムでございました。その後、カード決済の利便性向上の観点から、システムに改良を重ねて参りました結果、2010年7月21日より、顧客DBSの決済ログの中に、入力されたアクションの一部としてカード情報の文字列が記録される状態となっていましたが、今回、調査会社の調査結果を受領するまで認識がございませんでした。
グラフィックの対応
グラフィックも、個人情報流出だけでなく、クレジットカード情報も流出しています。
該当ユーザーには、QUOカード 500円分を送っています。
関係ないと思ってたら流出してた泣 pic.twitter.com/5fqYH1C3pT
— ischool (@ischool_ito) 2016年9月12日
クオカードもらっても全然嬉しくないわ pic.twitter.com/nqyGm07aOM
— ischool (@ischool_ito) 2016年9月12日
自分のクレジットカード情報が流出した際の対応方法は?
自分のクレジットカード情報が流出したらどうすればいいのでしょうか?
第三者に勝手に決済されたら困ってしまいますよね?万が一、クレジットカードの番号が流出してしまったら、以下のことを実施してください。
- クレジットカードの明細を確認
- クレジットカード番号を変える
- 該当サービスは使わない
- 該当サービスを使うならクレジットカード払いはやめる
1. クレジットカードの明細を確認
不正にクレジットカードを使用された形跡がないか、明細を確認します。
WEB明細だと、細かくチェックしない方もいると思いますが、絶対に明細はチェックしましょう。
2. クレジットカード番号を変える
公共料金や携帯電話など1枚のクレジットカードで様々な支払いをしていると面倒ですが、クレジットカード番号は変えた方がいいです。
3. 該当サービスは使わない
顧客情報やクレジットカード情報が流出したサービスは利用しない方がいいです。
4. 該当サービスを使うならクレジットカード払いはやめる
代替サービスがないという理由で、どうしてもクレジットカード情報が流出したサービスを使い続けなければならない場合、支払い方法を変更します。銀行振込や代引きにしてください。
まとめ
クレジットカードには、オンライン不正保険があって、オンライン上での不正利用に対しては、被害を補償してくれます。
とはいえ、自分のクレジットカード情報が流出してしまったら、明細を確認すると同時に、クレジットカード番号は変更することをオススメします。
ナレッジ