JINSのカード情報流出で最終報告 - 「システム開発会社に責任」

メガネ通販サイト「JINSオンラインショップ」が不正アクセスを受け、顧客のクレジットカード情報が流出した問題で、ジェイアイエヌは最終報告を行った。原因は「Apache Struts 2」における既知の脆弱性で、システム開発ベンダーにおもな責任があるとの事故調査委員会による報告結果を示した。

最終報告を行ったジェイアイエヌ

問題の事故は、不正アクセスにより同サイトが改ざんされ、顧客のクレジットカード情報が流出したもの。決済時に顧客が購入画面で入力した情報が、外部の第三者へ送信されていた。

同社では3月15日に事態を公表。事故判明後、事故調査委員会などを設置し、事故原因の調査などを実施。4月初旬の中間報告では、流出情報について、3月6日から14日にかけてカードで決済した2059人分だったことを公表した。

同社によれば、流出した情報のうち、顧客から不正利用の報告を受けたケースは20件。警察へ被害を届けており、流出したカード情報で商品を購入されたものの、犯人の逃走などにより未遂となったケースも多いとの報告を受けたという。

またカードの不正利用の連絡を受けたのは3月30日が最後で、すでに収束していると同社は結論付けており、これまでの状況から、不正利用にともなう想定損害額は、最大305万3000円であるとの試算を示した。

不正アクセスを受けた原因は、オンラインショップのウェブシステムに導入されていたミドルウェア「Apache Struts 2」の旧バージョン。既知の脆弱性を突かれて侵入を許し、ファイルの変更権限が取得されたとしている。

また今回の最終報告では、弁護士や専門家による同社設置の事故調査委員会が、社内外の関係者へヒアリング調査を行い、その調査報告として責任の所在についても言及した。

同社では、システムの構築や保守サポート業務を外部事業者に委託しており、結果的にセキュリティ上の問題が生じたとして、ベンダー選定や、システムの保守サポート業務品質の管理義務に不備があったと説明。

一方システム開発を行ったベンダーについては、古いバージョンを使用したままシステムの改修作業を完了するなど、瑕疵のないシステム構成を設計する義務を果たしておらず、責任があるとの見解を示した。

これまで同社では、当初漏洩のおそれがあると公表していた1万2036人に対して1000円分の金券を送付し、事情の説明を実施。カード会社と連携して対応を進めてきた。

今後は、クレジットカードのセキュリティ基準である「PCI DSS」への準拠や、画面遷移型決済サービスの採用など再発防止策を実施する予定で、再開に向けた作業を進めている。同オンラインショップについては、監査など経た上で6月中に再開する見込み。

（Security NEXT - 2013/05/01 ）ツイート