こんにちは、穂苅と申します。
前回は、 不正ログインによる資金流出被害の脅威について取り上げてきました。興味のある方はぜひご覧ください。
今回は、多くの人が利用したことがあるコーヒーチェーン「タリーズ」のオンラインストアで発生した不正アクセスと情報流出についてです。なぜ発生したのか、私達はどうすれば良いのかを取り上げていきます。
タリーズの不正アクセス事件で個人情報が漏洩
2024年10月3日、タリーズコーヒージャパン株式会社に不正アクセスと個人情報漏洩の可能性があるというリリースが出ました。(参考:【重要】弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告)
内容としては、2024年5月20日に発生した、「タリーズオンラインストア」に外部からの不正アクセスが行われた件についての第三者調査機関による調査の結果とお詫びです。
リリースによると、顧客の個人情報として92,685件、そのうちクレジットカード情報は52,958件が漏洩した可能性が分かったということです。原因としては「タリーズオンラインストア」の脆弱性をついた第三者からの不正アクセスによって、ペイメントアプリケーションの改ざんがされてしまったためだといいます。
更に、漏洩の可能性がある個人情報というのは、具体的には、氏名・住所・電話番号。性別・生年月日・メールアドレス・ログインID・ログインパスワード・配送先情報で、個人をはっきり特定できてしまう情報が入っています。
漏洩の可能性があるクレジットカード情報の方は、カード番号・カード名義人名・有効期限・セキュリティコードということで、第三者から不正にクレジットカードの利用がされてしまう可能性もある情報です。
タリーズ側としては、身に覚えのないクレジットカード利用を見つけた場合についてはカード会社に問い合わせをするようにリリース文に記載しており、今後の対応として「タリーズオンラインストア」の再発防止策を実施してからの再開と、引き続きの専用相談窓口の開設を行っています。
インターネット上では、クレジットカードのセキュリティコードをサーバー側に保管していたから一緒に盗まれたのではないか、という危険性を指摘する声が出ていますが、タリーズ側としては、サーバー上には保存しておらず、決済時にクレジットカードの情報をユーザーが入力した際に第三者に流出されてしまった可能性があるという回答を出しています。(参考:タリーズオンラインストア)
この状況、どうすれば私達は防げるのか
利用者の立場から言うと、タリーズほどの企業がこの規模の不正アクセス被害に遭ってしまうのであればなかなか防ぐのが難しいということになってしまうのですが、SSL化されているサイトを利用する、URLの文字をしっかり確認する、クレジットカードの支払明細をしっかり確認するなどの対応をすることが重要です。
更に、大手企業やショッピングモールを装った偽メールに書いてある URLにアクセスしてしまい、そこでIDやパスワード、クレジットカード情報を入力してしまうと簡単に情報が盗まれてしまうため、気をつけながらメールやサイトを使っていくことが求められます。
運営企業側としては、セキュリティを最大限考慮したサイトや決済の仕組みを使うことです。更に、定期的なシステム側のセキュリティチェック等も重要になります。
経済産業省が出している「クレジットカード番号等の漏洩防止の強化」という資料も参考になると思います。(参考:クレジットカード番号等の漏洩防止の強化 経済産業省–)
Webセキュリティ知識を詳しく知りたい場合は、徳丸本と徳丸試験がおすすめ
Webセキュリティに関する問題は、今後も多様化し増えていくことが予想されます。セキュリティの問題はサイトやサービス運営側も利用側も必要な知識です。
Webセキュリティ関連の知識について、詳しくなるためには徳丸本を学ぶとよいです。
徳丸本は、Webセキュリティに関する基本知識が網羅されています。セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。
そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、ぜひチャレンジしてみてください。
【徳丸本】
体系的に学ぶ 安全な Web アプリケーションの作り方 第 2 版 脆弱性が生まれる原理と対策の実践
徳丸浩の Web セキュリティ教室
【徳丸試験】
ウェブ・セキュリティ基礎試験 ( 徳丸基礎試験)
ウェブ・セキュリティ実務知識試験 ( 徳丸実務試験)
