先週末にニュースとなった JINS のオンラインショップにおける情報漏洩騒ぎ [01] なのだけど、実被害発生が確認されたとのこと。手口としては JINS のサイトが改ざんされて、購入時の入力フォームに記述した各種情報が他所にも送信される仕組みになっていたらしい。
JINS では顧客のクレジットカード情報を保管していないとのことだけど、送信部分で細工をされてしまうとどうしようもないですね。具体的な被害状況等の情報に関しては JINS ( http://www.jins-jp.com/ ) のトップページから PDF がダウンロードできるようになっている。内容を要約すると以下のような感じ。
- 2013/03/17 時点でクレジットカードの不正利用が7件確認された。
- 2013/02/06 から 2013/03/14 までに JINS オンラインショップを利用した人が対象。
- 手口は『購入画面内の「支払方法選択画面」に入力された情報』を他所へ送信するというもの。
- JINS のサーバにある情報が不正アクセスに因って漏れたものではないため、顧客の『氏名・住所・電話番号・生年月日・性別・メールアドレス』に関しては流出していない。
- 店舗や自販機での購入、また JINS 以外の EC サイトでの購入に関しては問題ない。
PDF には「それでは何が送信されてしまったのか」が書かれていないのが残念なのだけど [02] 、支払選択画面で入力する内容なのだから、それをそのまま使えば簡単に不正利用はできてしまうよなぁ。該当する期間に JINS オンラインショップをクレジットカード決済で利用した人は、早急に各所に対して連絡しておくべきですね。
しかしこれってもしかすると、カードの再発行しないとダメなんじゃないですかね。クレジットカードでいろいろ決済してる人だと、かなり大変なことになりそう。私もよくクレジットカード決済でネット通販を利用しているから、対岸の火事という気分にはなれないな。
入力フォームの改ざんなんて、まず気が付かないだろう。怪しい URL なら……などいうのは通用しないし。このようなケースの簡単な自衛策が思い付かないのはヤバイ。
それにしても、PDF で配布するだけじゃなくて、サイトのトップにも要約くらいは書いておけば良いのにと思った。正式な文書の体裁で報告したいという意識はわかるのだけど、緊急を要する場合はそれくらい親切にしても良さそうなものなのに。ともかくはまぁ、詳しい経緯がわかるといいな。
References
| ↩01 | 発覚時のニュースは『入力フォームに改ざん、外部に情報送信の可能性:JINSに不正アクセス、約1万2000件のクレジットカード情報流出の可能性 – @IT』を参照のこと。 |
|---|---|
| ↩02 | 私は JINS オンラインショップを利用したことがないから、入力項目に関してはわからない。 |