北海道産地直送センターが運営していたECサイト「産地直送センター」で、第三者による不正アクセスが発生し、クレジットカード情報および個人情報が漏えいした可能性があると公表されました。
報道などによると、対象となる可能性があるのは、クレジットカード情報が18,443名分、個人情報が54,583名分です。
この事案で特に注目すべきなのは、単に「ECサイトで個人情報が漏えいした」という点だけではありません。
システムの一部脆弱性を突いた不正アクセスにより、決済処理に関わるペイメントアプリケーションが改ざんされ、長期間にわたってカード情報や個人情報が漏えいした可能性がある点です。
ECサイトを運営する企業にとって、これは大企業だけの問題ではありません。食品通販、地域特産品販売、ギフトEC、D2C、会員制通販など、クレジットカード決済を扱うすべての事業者が確認すべき事例です。
本記事では、北海道産地直送センターの不正アクセス事案をもとに、利用者が確認すべきことと、EC事業者が見直したいセキュリティ対策について整理します。
北海道産地直送センターのECサイトで何が起きたのか
北海道産地直送センターは、食品販売を行うECサイト「産地直送センター」において、外部からの不正アクセスを受けたことを公表しました。
報道によると、2024年4月19日に一部のクレジットカード会社から、同サイトを利用した顧客のクレジットカード情報に漏えい懸念があるとの連絡がありました。
同社は同日、カード決済を停止し、第三者調査機関による調査を開始しました。その後の調査で、2021年3月30日にシステムの一部脆弱性を突いた不正アクセスがあり、ペイメントアプリケーションが改ざんされていたことが確認されたとされています。
この影響により、一定期間に同サイトでカード決済を行った顧客のクレジットカード情報や、サイトに入力された個人情報が漏えいした可能性があるとされています。
また、ECサイト「産地直送センター」は2024年4月24日に閉店しており、再開予定はないとされています。
流出した可能性がある情報
今回の事案で流出した可能性がある情報は、大きく分けて以下の2種類です。
クレジットカード情報
対象となる可能性があるクレジットカード情報には、次の情報が含まれるとされています。
- カード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
特にセキュリティコードまで含まれている可能性がある点は、利用者にとって大きなリスクです。
カード番号と有効期限だけでなく、セキュリティコードまで悪用されると、ECサイトなどでの不正利用につながる可能性が高まります。
個人情報
個人情報としては、注文時に入力された情報や会員情報などが対象となる可能性があります。
たとえば、次のような情報です。
- 氏名
- 郵便番号
- 住所
- 電話番号
- メールアドレス
- FAX番号
- 性別
- 職業
- 生年月日
- 会社名
- 注文情報
- 送付先情報
食品通販やギフトECの場合、注文者本人だけでなく、配送先として家族、親族、取引先などの情報が入力されているケースもあります。
そのため、ECサイトの情報漏えいでは、購入者本人だけでなく、送り先として登録された第三者の情報にも影響が及ぶ可能性があります。
なぜECサイトの不正アクセスは被害が大きくなりやすいのか
ECサイトの不正アクセスは、単なるWebサイト改ざんとは異なり、顧客情報、決済情報、注文履歴、配送先情報などに直結します。
特に食品通販や地域産品ECでは、以下のような特徴があります。
- 定期的に購入するリピーターがいる
- 高齢者を含む幅広い利用者がいる
- ギフト用途で第三者の住所を入力することがある
- 季節商品や限定商品で短期間に注文が集中する
- クレジットカード決済が主要な支払い手段になりやすい
- 専任のセキュリティ担当者が少ない事業者も多い
このようなECサイトでは、売上や商品管理、顧客対応にリソースが集中し、システムの脆弱性対策やログ監視が後回しになることがあります。
しかし、攻撃者から見れば、地域ECや中小ECも十分な標的です。むしろ、セキュリティ体制が手薄なサイトほど狙われやすい可能性があります。
利用者が確認すべきこと
今回のようなECサイトの不正アクセス事案に関係している可能性がある場合、利用者は次の点を確認する必要があります。
1. クレジットカードの利用明細を確認する
まず確認すべきなのは、クレジットカードの利用明細です。
カード会社のWeb明細やアプリで、身に覚えのない取引がないかを確認しましょう。
特に注意したいのは、次のような取引です。
- 少額の見覚えのない決済
- 海外ECサイトでの決済
- 深夜や早朝の決済
- 同じ店舗名で複数回行われている決済
- サブスクリプションのように継続課金されている決済
不審な取引がある場合は、すぐにカード会社へ連絡することが重要です。
2. カード会社からの連絡を確認する
カード会社によっては、不正利用の可能性がある場合に、SMS、メール、アプリ通知、電話などで連絡を行うことがあります。
ただし、カード会社を装ったフィッシングにも注意が必要です。
メールやSMS内のURLを安易にタップせず、カード会社の公式アプリや公式サイトを自分で開いて確認するようにしましょう。
3. 必要に応じてカード再発行を検討する
クレジットカード番号、有効期限、セキュリティコードが流出した可能性がある場合、カード会社の判断によりカード停止や再発行が行われることがあります。
利用者側でも、不安がある場合はカード会社に相談し、再発行の必要性を確認すると安心です。
特に、対象サイトで過去にカード決済を行っていた場合は、明細確認だけでなく、カード会社への相談も検討した方がよいでしょう。
4. 不審なメールや電話に注意する
個人情報が流出した場合、後日、フィッシングメールや不審な電話に悪用される可能性があります。
たとえば、以下のような連絡には注意が必要です。
- 「カード情報の再登録が必要です」
- 「返金手続きのためログインしてください」
- 「本人確認のためパスワードを入力してください」
- 「配送先情報を確認してください」
- 「ポイントやクーポンを付与します」
実在するECサイトやカード会社の名前が使われていても、本文中のURLからログインしないことが重要です。
5. 他サービスのパスワード使い回しを見直す
今回の事案はカード情報や個人情報が中心ですが、ECサイトの情報漏えいをきっかけに、他サービスへの不正ログインが試みられる可能性もあります。
メールアドレス、氏名、生年月日、電話番号などは、他サービスの本人確認やパスワードリセットの推測材料になる場合があります。
同じメールアドレスとパスワードを複数サービスで使っている場合は、早めに見直しましょう。
EC事業者が確認すべき対策
今回の事案は、ECサイトを運営する企業にとって非常に重要な教訓を含んでいます。
特に、クレジットカード決済を扱うEC事業者は、以下の点を確認する必要があります。
1. ECサイトの脆弱性診断を定期的に行っているか
今回の事案では、システムの一部脆弱性を突いた不正アクセスが原因とされています。
ECサイトは、公開して終わりではありません。
CMS、ECカート、プラグイン、決済モジュール、外部連携機能、管理画面など、複数の要素で構成されています。どこか一つに脆弱性が残っているだけでも、攻撃の入口になる可能性があります。
EC事業者は、少なくとも以下を確認すべきです。
- ECカートやCMSを最新状態に保っているか
- 古いプラグインや不要な機能が残っていないか
- 管理画面が外部から容易にアクセスできないか
- WAFを導入しているか
- 脆弱性診断を定期的に実施しているか
- 改修後の再診断まで行っているか
脆弱性診断は、一度実施すれば終わりではありません。サイト改修、機能追加、決済方式の変更、外部連携の追加があるたびに見直す必要があります。
2. ペイメントアプリケーションや決済処理部分を監視しているか
今回の事案では、ペイメントアプリケーションの改ざんが報じられています。
ECサイトでは、カード決済の入力画面や決済処理部分が改ざんされると、利用者が入力したカード情報が攻撃者に送信される可能性があります。
この種の攻撃は、表面的には通常どおり注文が完了するため、利用者や運営者が気づきにくい場合があります。
確認したいポイントは次のとおりです。
- 決済ページの改ざん検知を行っているか
- JavaScriptや外部スクリプトの変更を監視しているか
- 決済モジュールの更新管理を行っているか
- 本番環境のファイル改ざんを検知できるか
- 不審な外部通信を検知できるか
- 決済ページの変更履歴を管理しているか
ECサイトでは、商品ページやトップページだけでなく、決済処理部分こそ重点的に守る必要があります。
3. クレジットカード情報を保持しない設計になっているか
EC事業者にとって重要なのは、カード情報をできる限り自社環境に持たないことです。
カード情報を自社サーバーに保存している場合、侵害時の影響は非常に大きくなります。
カード決済を扱う場合は、次の点を確認しましょう。
- カード情報を自社DBに保存していないか
- トークン決済など、カード情報を保持しない方式を利用しているか
- 決済代行会社の提供する安全な決済方式を使っているか
- セキュリティコードを保存していないか
- 古い決済方式を使い続けていないか
「カード情報を持たない」ことは、EC事業者にとって非常に重要なリスク低減策です。
4. 管理画面の認証を強化しているか
ECサイトの管理画面は、攻撃者にとって非常に価値の高い標的です。
管理画面に侵入されると、顧客情報の閲覧、注文情報の変更、商品情報の改ざん、管理者アカウントの追加、不正なスクリプトの設置などが行われる可能性があります。
最低限、以下の対策は確認しておきたいところです。
- 管理画面に多要素認証を導入しているか
- 管理画面URLを安易に推測できないか
- IPアドレス制限を設定しているか
- 管理者アカウントを定期的に棚卸ししているか
- 退職者や委託先のアカウントが残っていないか
- 管理者権限を必要最小限にしているか
- ログイン失敗や不審なログインを検知しているか
ECサイトでは、利用者向けのログインだけでなく、運営側の管理画面ログインも重要な防御ポイントです。
5. 不正なツールやファイルの設置を検知できるか
報道では、第三者がデータベース内の情報にアクセスできる不正なツールが設置されていた可能性にも触れられています。
このような場合、攻撃者は一度侵入した後も、継続的に情報を取得できる状態を作っていた可能性があります。
EC事業者は、以下の監視が必要です。
- 本番環境に不審なファイルが追加されていないか
- Webシェルのような不正ファイルが設置されていないか
- データベースへの不審なアクセスがないか
- 通常とは異なる大量取得がないか
- 外部サーバーへの不審な通信がないか
- サーバーログを定期的に確認しているか
侵入を防ぐだけでなく、侵入後の不審な挙動を検知する仕組みも重要です。
モバイル不正対策ラボの見解
今回の事案は、ECサイトの脆弱性対策と決済セキュリティの重要性を示す事例です。
特に注目すべきなのは、利用者のスマートフォン上で被害が完結する可能性がある点です。
現在、多くの利用者はスマートフォンでECサイトを閲覧し、カード情報を入力し、メールやSMSで通知を受け取ります。個人情報やカード情報が流出した場合、その後のフィッシング、偽サイト誘導、不正決済、アカウント乗っ取りもスマートフォン上で進行することがあります。
つまり、ECサイトの不正アクセスは、サーバー側だけの問題ではなく、利用者のモバイル環境にまで被害が広がる可能性があります。
たとえば、次のような流れです。
- ECサイトの脆弱性を突かれてカード情報や個人情報が流出する
- 攻撃者が利用者にフィッシングメールやSMSを送る
- 利用者がスマホから偽サイトにアクセスする
- 追加の認証情報やカード情報を入力してしまう
- 他サービスで不正ログインや不正決済が発生する
EC事業者は、情報漏えいを防ぐだけでなく、漏えい後に利用者が二次被害に遭わないための注意喚起やサポート体制も整える必要があります。
また、カード決済を扱うECサイトでは、システムの脆弱性対策、決済ページの改ざん検知、管理画面の認証強化、不正ログイン対策をセットで考える必要があります。
EC事業者が見直したいチェックリスト
ECサイトを運営している企業は、今回の事案を踏まえて、次の項目を確認しておきたいところです。
- ECカート、CMS、プラグインを最新状態に保っているか
- 不要なプラグインや古い機能を削除しているか
- 定期的に脆弱性診断を実施しているか
- 決済ページの改ざん検知を行っているか
- 外部スクリプトの変更を監視しているか
- クレジットカード情報を自社で保持していないか
- セキュリティコードを保存していないか
- EMV 3-Dセキュアに対応しているか
- 管理画面に多要素認証を導入しているか
- 管理者アカウントを定期的に棚卸ししているか
- 退職者や委託先のアカウントを削除しているか
- 不審なファイル設置やWebシェルを検知できるか
- データベースへの不審なアクセスを監視しているか
- カード会社や決済代行会社との連絡体制を整えているか
- インシデント発生時の顧客通知文面を準備しているか
- 問い合わせ窓口の設置手順を決めているか
このような対策は、大規模ECだけでなく、中小規模のECサイトにも必要です。
今回の事案から学べること
北海道産地直送センターの不正アクセス事案から学べることは、主に3つあります。
1. 中小・地域ECも攻撃対象になる
攻撃者は、有名企業だけを狙っているわけではありません。
食品通販、地域特産品EC、ギフトECのようなサイトも、カード情報や個人情報を扱っている以上、攻撃対象になります。
「自社は小さいから狙われない」という前提は危険です。
2. 決済部分の改ざんは気づきにくい
ペイメントアプリケーションや決済ページが改ざんされた場合、利用者から見ると通常どおり注文が完了しているように見えることがあります。
そのため、表面上のサイト表示だけでは異常に気づけない場合があります。
決済処理部分の改ざん検知や外部通信監視が重要です。
3. 公表後の利用者対応も重要になる
カード情報や個人情報が漏えいした可能性がある場合、企業は利用者に対して、何を確認すべきかを明確に案内する必要があります。
特に、カード明細の確認、不審なメールやSMSへの注意、カード会社への連絡方法などは、わかりやすく伝える必要があります。
情報漏えい時の対応は、セキュリティ部門だけでなく、広報、カスタマーサポート、法務、経営層が連携して進めるべきテーマです。
まとめ
北海道産地直送センターのECサイト「産地直送センター」では、第三者による不正アクセスにより、クレジットカード情報や個人情報が漏えいした可能性があると公表されました。
特に、ペイメントアプリケーションの改ざんによって、カード情報が漏えいした可能性がある点は、EC事業者にとって重く受け止めるべきポイントです。
利用者側では、カード明細の確認、不審なメールやSMSへの注意、カード会社への相談、パスワード使い回しの見直しが重要です。
一方、EC事業者側では、脆弱性診断、決済ページの改ざん検知、カード情報非保持化、管理画面の認証強化、不正アクセス監視、インシデント対応体制の整備が求められます。
ECサイトのセキュリティ対策は、売上規模や企業規模に関係なく必要です。
顧客情報と決済情報を扱う以上、ECサイトは常に攻撃対象になり得ます。今回の事案をきっかけに、自社ECサイトの決済処理、認証、監視、顧客通知体制を改めて確認しておくことが重要です。
参考情報
- 北海道産地直送センター:ECサイト「産地直送センター」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
- 日本流通産業新聞オンライン:北海道産地直送センター、ECに不正アクセス 5万人超の個人情報流出の可能性
- ScanNetSecurity:北海道産地直送センターに不正アクセス、18,443名のカード情報が漏えいした可能性
- イオン銀行:株式会社北海道産地直送センター「産地直送センター」におけるカード情報流出について
- 経済産業省:クレジットカード・セキュリティガイドライン改訂に関する発表