ネットショップ運営サービスに不正アクセス GMOペパボ株式会社

ネットショップ運営サービスの「カラーミーショップ」が不正アクセスにより、同サービスを利用するショップ運営者やショップの顧客に関する情報が外部へ流出した可能性があると同サービスを提供するGMOペパボ株式会社が平成30年1月26日に発表しました。

 

 

 

被害状況

 

流出したショップオーナーのクレジットカード情報:22件

カード番号のみ 22件

 

流出した可能性のあるショップオーナーのクレジットカード情報:最大 9,430件

対象:2017年3月16日~2018年1月7日に本サービス利用料金をクレジットカードにてお支払いいただいたショップオーナー

カード番号・カード有効期限・カード名義人名・セキュリティコード 最大 7,259件

カード番号・カード有効期限・カード名義人名 最大 337件

カード番号・カード有効期限 最大 1,834件

*2017年3月15日以前に本サービス利用料金をクレジットカードにてお支払いいただいたショップオーナーの情報流出はないとのこと。

 

流出した可能性のある購入者のクレジットカード情報:最大 2,711件

カード番号・カード有効期限・カード名義人名・セキュリティコード 最大 4件

カード番号・カード有効期限・カード名義人名 最大 1,902件

カード番号・カード有効期限・セキュリティコード 最大 481件

カード番号・カード有効期限 最大 141件

カード番号 最大 183件

 

流出したショップオーナーのクレジットカード情報以外の情報:最大 77,385件

対象:本サービスをご利用中・ご利用いただいたことのあるショップオーナー

 

ログインID・ハッシュ化済パスワード ・住所・氏名(個人・法人名)・電話番号・生年月日・メールアドレス・その他特定商取引法に基づく表記など最大 77,385件

 

 

 

原因

独自アプリケーション機能に存在する脆弱性を突かれた不正アクセス

 

 

対応

 

(1)ショップオーナーのパスワードリセット

1月22日までに全てのショップオーナーのパスワードリセットが完了

 

(2)ショップオーナーへの個別の連絡

本件についてのお詫びとご連絡を、以下の方法にて実行。
・電子メールの送付
・本サービスの管理画面における本件に関する情報と対応の表示

(3)クレジットカード情報が流出した可能性のある購入者へのご連絡

(4)問い合わせ窓口の設置

 

 

タイムライン

日時

内容

201817日(日)2004

サーバー異常検知システムによりアラートを検知し、調査を実施したところ、外部から設置された不正プログラムが実行された可能性を検知

201817日(日)2228

不正プログラムが実行されないように改修

201817日(日)2309

代表取締役社長佐藤健太郎を本部長とした緊急対策本部を設置

201818日(月)133

不正プログラムを経由して、本サービスの情報の一部が閲覧された可能性があることを検知

201818日(月)1339

外部のセキュリティ専門機関へ報告し、本件に関する情報調査および今後の対応について相談を開始

201818日(月)1737

外部の危機管理専門家へ連絡し、相談を開始

201818日(月)2216

セキュリティ診断アプリケーションにてセキュリティチェックを実施

201819日(火)1500

セキュリティ対策ソフトウェアを設置した上で社内にてセキュリティチェックを実施

201819日(火)1612

不正プログラムを経由して閲覧された可能性のある情報の中にクレジットカード情報が含まれている可能性を検知

201819日(火)1850

関係省庁への報告

2018110日(水)1334

不正プログラムを経由して閲覧された可能性のある情報の中にクレジットカード情報が含まれていたため、クレジットカード各社へ連絡し、不正利用監視(モニタリング)体制の強化を依頼

2018110日(水)1535

被害状況および影響範囲を特定するため外部のセキュリティ専門機関によるセキュリティ診断および、同セキュリティ専門機関と、クレジットカード情報のセキュリティ専門機関の2社によるフォレンジック調査を開始

2018111日(木)1400

本サービス利用料金の支払いにおける、クレジットカード払いの新規申込を停止

2018122日(月)1237

全ショップオーナー様のパスワードリセット完了

2018125日(木)926

外部のセキュリティ専門機関によるフォレンジック調査の結果を受領

2018125日(木)1158

クレジットカード情報のセキュリティ専門機関によるフォレンジック調査の結果を受領

2018126日(金)740

本件に係る再発防止委員会を設置

 

引用元URL:https://pepabo.com/news/information/201801260800

中小企業情報セキュリティ.COMにできること

 

・脆弱性を突かれた不正アクセスが起きないように定期的に脆弱性診断を行っています。

脆弱性診断サービス

 

・不正アクセスにすぐに気が付く為に、中小企業情報セキュリティ.COMが監視をします。

情報セキュリティ監視運用サービス

 

 

関連リンク

 

パスワードリスト攻撃により情報漏洩 東京ガス

パスワードリスト攻撃により情報漏洩 ロート製薬

不正アクセスの報告一覧

情報漏洩被害事例

大学被害事例

 

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop