Digital Arts News Watch

2016/05/24   
サイバー攻撃    不正な情報持ち出し    セキュリティ全般    i-FILTER   

通販サイトから約20万件のカード番号とセキュリティコードが漏洩

4月、ジュエリーの通販を行っている企業のサイトから、約20万人の顧客の個人情報が漏洩する事件が起きました。このとき流出した情報には、カード番号だけではなくセキュリティコードや有効期限も含まれていたと考えられています。

「20万件のカード情報漏洩」は、国内のサイバーインシデントとしては非常に大きな規模で、流出したデータの内容も顧客に深刻な被害を起こしかねないものでした。そして同社は、実際にカード会社から「不審な取引がある」と連絡を受けていました。しかし、この時点では、まだ自社がサイバー攻撃の被害に遭ったことを理解していなかったのかもしれません。

のちに「犯人から被害者に犯行声明が届く」という珍しい事態になったことを受け、同社は被害を確認し、それを警察に相談しました。一部の報道によれば、この犯行声明は海外から届いた英文の文書だったと伝えられています。

氏名、カード番号、さらにセキュリティコードと有効期限が揃っていれば、世界中の様々なサービスでカード決済ができます。その点を考えると、日本の通販サイトが海外から狙われても不思議ではありません。しかし、なぜ攻撃先に気づかれずに情報を盗んだ犯人が、わざわざ声明文を送ったのでしょう? 被害者が漏洩を知り、それぞれの顧客に通知すれば、20万件のデータはあっという間に価値がなくなるはずです。

自己顕示欲を満たすための犯行だったのか、政治的な理由があったのか、単なるイタズラだったのか、あるいはもっと守りの堅い組織を攻撃する前の予行演習だったのか。犯人の本当の動機は分かりません。しかし、それが金銭目的でなかった可能性は高いでしょう。

ベネッセや年金機構の事件が大きく報道され、標的型攻撃や内部犯行に関する警告を発せられても、私たちは「自分の組織に限って、わざわざ狙われないだろう」と考えがちです。しかし、国際的に知名度の高い大組織ではない通販サイトが、何らかの意図を持った犯罪者からサイバー攻撃を受け、20万人もの顧客の情報を危険に晒されたことは事実です。

「標的となりやすい組織の傾向」は、その時々によって変化します。しかしサイバー犯罪者たちは、常に同じ目的で犯罪を起こすわけではありません。どのような組織が、どのような動機で、いつ狙われるのか分からないということを、私たちは肝に銘じる必要があるでしょう。
<記事提供元:株式会社イード>

資料のダウンロード(手間をかけずにサイバー攻撃から情報の流出を防ぐ解決策とは?)

サイバー攻撃に対するセキュリティ対策には「i-FILTER」をおすすめします。

i-FILTER