知って得するセキュリティのはなし その205
電話注文時の注文書・メモ画像、ランサムウェアが暗号化…クレジットカード情報流出か
1.このニュースをざっくり言うと
- 3月30日(日本時間)、酒造メーカーの日本盛株式会社より、同社サーバーが不正アクセスを受け、一部ユーザーのクレジットカード情報等が流出した可能性があると発表されました。
- 被害を受けたとされるのは、電話による通信販売で2016年10月6日~2022年9月16日に注文を行った利用者の一部にあたる23人分のクレジットカード情報(番号・有効期限・氏名)とされています。
- 不正アクセスは2022年9月16日に発生し、ランサムウェアによって暗号化された画像データの中にカード情報が記載されていたことが確認され、流出の可能性ありとして今回の発表となった模様です。
- 同社はECサイトも運営していましたが、クレジットカード情報を保持しない設定となっていたこと、またこちらに対する不正アクセスの痕跡がなかったことから、ECサイトからのカード情報流出はなかったとされています。
2.執筆者からの所感等
- 同社からの第一報は不正アクセス発生直後の2022年9月20日で、次いで10月25日の続報において、VPN装置の脆弱性を突いての侵入とランサムウェアによる暗号化があったことが発表されていましたが、今回注文書やカード情報のメモの画像情報が暗号化の被害を受けたことが明らかになっています。
- ECサイトでの被害がなかった一方、電話による通信販売において「カード情報が記載されたデータファイルについてはサーバーには保存しない」というルールが遵守されなかったことが情報流出の可能性に繋がっています。
- PCからサーバー・ネットワーク機器までセキュリティアップデートを確実に行うことはもちろん、くれぐれも「内部ネットワークに侵入されなければ大丈夫」等と油断することなく、流出時に問題となるような情報や一時的なデータファイルが用済みになった後も誰にも意識されずPCやサーバーに保存されてしまう等のないよう、適切に管理・破棄する為のルールを徹底することが肝要です。