「2013-03-15 不正アクセスによるJINSオンラインショップの個人情報流出の可能性」の版間の差分

提供: セキュリティ
移動: 案内検索
 
行1: 行1:
<!--
 
vim: filetype=mediawiki
 
-->
 
 
 
2013/03/15、メガネブランド JINS を展開している 会社名 ジェイアイエヌの運営するオンラインショッピングサイト JINS ONLINE SHOP の Webサーバに不正アクセスが見つかり、顧客個人情報が流出しました。
 
2013/03/15、メガネブランド JINS を展開している 会社名 ジェイアイエヌの運営するオンラインショッピングサイト JINS ONLINE SHOP の Webサーバに不正アクセスが見つかり、顧客個人情報が流出しました。
  
行8: 行4:
  
 
== 概要 ==
 
== 概要 ==
 
 
2013/03/15、メガネブランド JINS を展開している 会社名 ジェイアイエヌの運営するオンラインショッピングサイト JINS ONLINE SHOP の Webサーバに不正アクセスが見つかり、顧客個人情報が流出した可能性がある。
 
2013/03/15、メガネブランド JINS を展開している 会社名 ジェイアイエヌの運営するオンラインショッピングサイト JINS ONLINE SHOP の Webサーバに不正アクセスが見つかり、顧客個人情報が流出した可能性がある。
  
 
* クレジットカード情報を入力する Web ページの入力フォームが改竄された。
 
* クレジットカード情報を入力する Web ページの入力フォームが改竄された。
 
* ユーザが入力した情報は、外部のデータベースに送信される。
 
* ユーザが入力した情報は、外部のデータベースに送信される。
 
 
== 流出した情報 ==
 
== 流出した情報 ==
 
 
* 流出した顧客情報は、12,036 件 。
 
* 流出した顧客情報は、12,036 件 。
 
* JINS ONLINE SHOP でクレジットカード決済をした顧客の情報
 
* JINS ONLINE SHOP でクレジットカード決済をした顧客の情報
行26: 行19:
 
* カード有効期限
 
* カード有効期限
 
* カード名義人名
 
* カード名義人名
 
 
== 調査概要 ==
 
== 調査概要 ==
 
 
# 社長を対策本部長とし、執行役員と社内各部署の幹部社員で構成した、情報漏えい事故対策本部を設置し、情報漏えいの範囲調査、情報収集、事故対応全般を行った。
 
# 社長を対策本部長とし、執行役員と社内各部署の幹部社員で構成した、情報漏えい事故対策本部を設置し、情報漏えいの範囲調査、情報収集、事故対応全般を行った。
 
# Payment Card Forensics株式会社 に、不正アクセスの対象となったサーバのログの解析による不正アクセスの発生原因の究明、漏洩の可能性のあるデータの範囲の特定を委託した。
 
# Payment Card Forensics株式会社 に、不正アクセスの対象となったサーバのログの解析による不正アクセスの発生原因の究明、漏洩の可能性のあるデータの範囲の特定を委託した。
 
# 情報漏えい事故調査委員会を設置し、調査を委託した。
 
# 情報漏えい事故調査委員会を設置し、調査を委託した。
# [[警察]]による捜査
+
# 警察による捜査
  
 
警視庁生活安全部サイバー犯罪対策課と原宿警察署生活安全課に対して、不正アクセスに関する捜査要請を行い、不正利用によって購入された商品の発送先住所地の確認、情報送信先サーバのログ解析等による捜査活動が行われました。
 
警視庁生活安全部サイバー犯罪対策課と原宿警察署生活安全課に対して、不正アクセスに関する捜査要請を行い、不正利用によって購入された商品の発送先住所地の確認、情報送信先サーバのログ解析等による捜査活動が行われました。
 
 
== 調査結果 ==
 
== 調査結果 ==
 
 
=== 漏洩した可能性のあるクレジット情報の範囲 ===
 
=== 漏洩した可能性のあるクレジット情報の範囲 ===
 
 
* 2013/03/06 - 03/14 の間に、JINS のオンラインショップで[[クレジットカード]]による購入手続きした 2059件。
 
* 2013/03/06 - 03/14 の間に、JINS のオンラインショップで[[クレジットカード]]による購入手続きした 2059件。
 
* 03/15 - 現在までの不正利用の申告は、20件。
 
* 03/15 - 現在までの不正利用の申告は、20件。
 
** ただし、本件の漏洩事故に金する不正利用かは、判別ができていない。
 
** ただし、本件の漏洩事故に金する不正利用かは、判別ができていない。
 
* 最大被害想定額は、 3,053,000円
 
* 最大被害想定額は、 3,053,000円
 
 
=== 事故の原因 ===
 
=== 事故の原因 ===
 +
[[不正アクセス]]の原因は、脆弱性のある Apache Struts 2を利用していたことでした。
  
[[不正アクセス]]の原因は、脆弱性のある [[Apache Struts]] 2を利用していたことでした。
+
* オンラインショップのシステムで利用していたミドルウェア の Apache Struts 2 の[[脆弱性]]を利用して、システムに不正に侵入され、ファイルの変更権限を不正に取得されたことによること。
 
+
* オンラインショップのシステムで利用していた[[ミドルウェア]] [[Apache Struts]] 2 の[[脆弱性]]を利用して、システムに不正に侵入され、ファイルの変更権限を不正に取得されたことによること。
+
 
* 利用していた Struts に過去に脆弱性を指摘されていた古いバージョンであったこと。
 
* 利用していた Struts に過去に脆弱性を指摘されていた古いバージョンであったこと。
 
 
== 対応 ==
 
== 対応 ==
 
 
=== 顧客対応 ===
 
=== 顧客対応 ===
 
 
* 漏洩の可能性のあるお客様全員(12,036人)が[[クレジットカード]]を再発行を行う場合は、 会社名 ジェイアイエヌ が費用を負担する
 
* 漏洩の可能性のあるお客様全員(12,036人)が[[クレジットカード]]を再発行を行う場合は、 会社名 ジェイアイエヌ が費用を負担する
 
* お客様(12,036人)に対して、1,000円分のQUOカードの送付
 
* お客様(12,036人)に対して、1,000円分のQUOカードの送付
 
* メールよるお知らせ
 
* メールよるお知らせ
 
 
=== 再発防止 ===
 
=== 再発防止 ===
 
 
* [[PCI DSS]] へ準拠
 
* [[PCI DSS]] へ準拠
 
* 画面遷移型のクレジットカード情報非保持サービスの採用
 
* 画面遷移型のクレジットカード情報非保持サービスの採用
 
** クレジットカード決済を選択した場合、決済代行会社が管理運営する[[ウェブサイト]] へ遷移する。
 
** クレジットカード決済を選択した場合、決済代行会社が管理運営する[[ウェブサイト]] へ遷移する。
 
** JINS のオンラインショップを、購入者のクレジットカード情報が一切通過しない。
 
** JINS のオンラインショップを、購入者のクレジットカード情報が一切通過しない。
 
 
== 業績への影響 ==
 
== 業績への影響 ==
 
 
* オンラインショップの売上は、グループ売上全体の約 5% 程度で、ウェブサイトの休止期間中にオンラインショップの売上が現象する。
 
* オンラインショップの売上は、グループ売上全体の約 5% 程度で、ウェブサイトの休止期間中にオンラインショップの売上が現象する。
 
* 調査委託費用、QUOカードの購入代金などの費用、クレジットカード再発行手数料、システム更改にかかる投資コスト。
 
* 調査委託費用、QUOカードの購入代金などの費用、クレジットカード再発行手数料、システム更改にかかる投資コスト。
 
 
== オンラインショップの再開予定時期 ==
 
== オンラインショップの再開予定時期 ==
 
 
* オンラインショップの再開予定時期は、2013年の6月中を見込んでいる。
 
* オンラインショップの再開予定時期は、2013年の6月中を見込んでいる。
 
** 新システムの完成
 
** 新システムの完成
 
** [[PCI DSS]] の準拠
 
** [[PCI DSS]] の準拠
 
** クレジットカード会社の審査
 
** クレジットカード会社の審査
 
 
== 関連項目 ==
 
== 関連項目 ==
 
 
* [http://www.jins-jp.com/info.pdf プレスリリース]
 
* [http://www.jins-jp.com/info.pdf プレスリリース]
 
* [[情報漏えい]]
 
* [[情報漏えい]]
 +
<!-- vim: filetype=mediawiki
 +
-->

2015年9月22日 (火) 00:40時点における最新版

2013/03/15、メガネブランド JINS を展開している 会社名 ジェイアイエヌの運営するオンラインショッピングサイト JINS ONLINE SHOP の Webサーバに不正アクセスが見つかり、顧客個人情報が流出しました。

概要

2013/03/15、メガネブランド JINS を展開している 会社名 ジェイアイエヌの運営するオンラインショッピングサイト JINS ONLINE SHOP の Webサーバに不正アクセスが見つかり、顧客個人情報が流出した可能性がある。

  • クレジットカード情報を入力する Web ページの入力フォームが改竄された。
  • ユーザが入力した情報は、外部のデータベースに送信される。

流出した情報

  • 流出した顧客情報は、12,036 件 。
  • JINS ONLINE SHOP でクレジットカード決済をした顧客の情報
    • 2059件のクレジットカード情報

流出した可能性のある情報は、以下の通り

調査概要

  1. 社長を対策本部長とし、執行役員と社内各部署の幹部社員で構成した、情報漏えい事故対策本部を設置し、情報漏えいの範囲調査、情報収集、事故対応全般を行った。
  2. Payment Card Forensics株式会社 に、不正アクセスの対象となったサーバのログの解析による不正アクセスの発生原因の究明、漏洩の可能性のあるデータの範囲の特定を委託した。
  3. 情報漏えい事故調査委員会を設置し、調査を委託した。
  4. 警察による捜査

警視庁生活安全部サイバー犯罪対策課と原宿警察署生活安全課に対して、不正アクセスに関する捜査要請を行い、不正利用によって購入された商品の発送先住所地の確認、情報送信先サーバのログ解析等による捜査活動が行われました。

調査結果

漏洩した可能性のあるクレジット情報の範囲

  • 2013/03/06 - 03/14 の間に、JINS のオンラインショップでクレジットカードによる購入手続きした 2059件。
  • 03/15 - 現在までの不正利用の申告は、20件。
    • ただし、本件の漏洩事故に金する不正利用かは、判別ができていない。
  • 最大被害想定額は、 3,053,000円

事故の原因

不正アクセスの原因は、脆弱性のある Apache Struts 2を利用していたことでした。

  • オンラインショップのシステムで利用していたミドルウェア の Apache Struts 2 の脆弱性を利用して、システムに不正に侵入され、ファイルの変更権限を不正に取得されたことによること。
  • 利用していた Struts に過去に脆弱性を指摘されていた古いバージョンであったこと。

対応

顧客対応

  • 漏洩の可能性のあるお客様全員(12,036人)がクレジットカードを再発行を行う場合は、 会社名 ジェイアイエヌ が費用を負担する
  • お客様(12,036人)に対して、1,000円分のQUOカードの送付
  • メールよるお知らせ

再発防止

  • PCI DSS へ準拠
  • 画面遷移型のクレジットカード情報非保持サービスの採用
    • クレジットカード決済を選択した場合、決済代行会社が管理運営するウェブサイト へ遷移する。
    • JINS のオンラインショップを、購入者のクレジットカード情報が一切通過しない。

業績への影響

  • オンラインショップの売上は、グループ売上全体の約 5% 程度で、ウェブサイトの休止期間中にオンラインショップの売上が現象する。
  • 調査委託費用、QUOカードの購入代金などの費用、クレジットカード再発行手数料、システム更改にかかる投資コスト。

オンラインショップの再開予定時期

  • オンラインショップの再開予定時期は、2013年の6月中を見込んでいる。
    • 新システムの完成
    • PCI DSS の準拠
    • クレジットカード会社の審査

関連項目