アーバンリサーチ公式オンラインストアで過去に発生した不正アクセス事案では、会員情報の一部が外部に流出したおそれがあると公表されました。
流出した可能性がある情報には、氏名、住所、電話番号、メールアドレス、生年月日、性別、会員ID、会員ステージなどが含まれていました。一方で、クレジットカード番号は含まれていないとされています。
このようなECサイトの不正アクセス事案では、クレジットカード情報の有無だけに注目しがちです。しかし、氏名、住所、電話番号、メールアドレス、生年月日といった情報だけでも、フィッシングメール、不審な電話、なりすまし、不正ログインのきっかけとして悪用される可能性があります。
本記事では、アーバンリサーチの不正アクセス事例をもとに、利用者が確認すべきことと、EC事業者が見直したいセキュリティ対策について整理します。
アーバンリサーチ公式オンラインストアで何が起きたのか
株式会社アーバンリサーチは、同社が運営する公式オンラインストアに対して、第三者による不正アクセスがあったことを公表しました。
公表内容によると、公式オンラインストアと連携していたUR CLUB会員情報のうち、317,326人分の個人情報が流出したおそれがあるとされています。
流出したおそれがある情報は、主に以下のような会員情報です。
- 住所
- 氏名
- 電話番号
- メールアドレス
- 生年月日
- 性別
- 会員ID
- 会員ステージ等
一方で、クレジットカード番号は含まれていないと説明されています。
企業側では、不正アクセス元とみられるIPアドレス群からの通信遮断、セキュリティ設定の強化、対象となる可能性がある顧客への個別案内、会員資格の停止、個人情報保護委員会への報告、問い合わせ窓口の設置などを実施したとされています。
クレジットカード情報が含まれていなくても注意が必要な理由
今回のような事案では、「クレジットカード番号は含まれていない」という点に安心しがちです。
もちろん、カード番号やセキュリティコードが流出していないことは重要です。しかし、ECサイトの会員情報には、攻撃者にとって価値のある情報が多く含まれています。
たとえば、氏名、住所、電話番号、メールアドレス、生年月日が組み合わさると、本人らしく見えるフィッシングメールやSMS、不審な電話に利用される可能性があります。
また、会員IDや会員ステージなどの情報が含まれる場合、対象者がそのサービスを利用していることを前提にした、より精度の高いなりすまし連絡が行われる可能性もあります。
つまり、カード情報が含まれていない場合でも、利用者側では一定期間、不審な連絡やログイン通知に注意する必要があります。
利用者が確認すべきこと
アーバンリサーチに限らず、ECサイトの個人情報流出に関する案内を受け取った場合、利用者は次の点を確認しておくことが重要です。
1. 不審なメールやSMSに注意する
情報流出後は、実在する企業名を装ったフィッシングメールやSMSが送られてくる可能性があります。
特に注意したいのは、次のような内容です。
- アカウント確認を求める案内
- パスワード再設定を促す案内
- 支払い情報の再登録を求める案内
- ポイント失効や会員資格停止を装う案内
- 偽のキャンペーンやクーポン案内
メールやSMS内のURLからログインするのではなく、公式サイトや公式アプリを自分で開いて確認することが大切です。
2. 同じパスワードを使い回していないか確認する
ECサイトの不正アクセス事案では、直接パスワードが流出していない場合でも、利用者側のパスワード使い回しが別の不正ログインにつながることがあります。
特に、以下のようなサービスで同じパスワードを使っている場合は注意が必要です。
- 他のECサイト
- ポイントサービス
- 決済サービス
- メールアカウント
- SNS
- 金融機関や証券サービス
同じメールアドレスとパスワードの組み合わせを複数サービスで使っている場合は、早めに変更しておきましょう。
3. クレジットカードや決済履歴を確認する
今回の事案では、クレジットカード番号は含まれていないとされています。
それでも、ECサイトを利用していた場合は、念のためクレジットカードや決済アプリの利用履歴を確認しておくと安心です。
見覚えのない請求、不自然な少額決済、海外利用などがないかを確認し、不審な取引があればカード会社や決済事業者に連絡しましょう。
4. アカウントの登録情報変更通知を確認する
不正ログインが発生した場合、メールアドレス、電話番号、配送先住所、パスワードなどが変更されることがあります。
登録情報の変更通知やログイン通知が届いていないかを確認し、身に覚えのない変更があれば、すぐに公式窓口へ連絡することが重要です。
5. 公式発表と問い合わせ窓口を確認する
情報流出に関する案内が届いた場合は、メール本文だけで判断せず、企業の公式サイトに掲載されているお知らせを確認しましょう。
攻撃者が、実際の情報流出事案に便乗して偽の問い合わせ窓口や偽ログインページへ誘導することもあります。
EC事業者が見直すべきセキュリティ対策
今回の事例は、ECサイトを運営する事業者にとっても重要な示唆があります。
ECサイトでは、商品購入、会員登録、ポイント付与、メール配信、CRM、外部決済、在庫管理など、複数のシステムが連携しています。そのため、単にWebサイトだけを守るのではなく、会員情報にアクセスできる経路全体を見直す必要があります。
1. 会員情報へのアクセス権限を最小化する
ECサイトでは、管理画面、顧客管理システム、マーケティングツール、外部連携システムなど、複数の場所から会員情報にアクセスできるケースがあります。
重要なのは、必要な担当者やシステムだけが、必要な範囲の情報にアクセスできる状態にすることです。
特に確認したいのは、次の点です。
- 管理画面に不要なアカウントが残っていないか
- 退職者や委託先のアカウントが残っていないか
- 管理者権限が広く付与されすぎていないか
- 外部連携先に過剰な権限を与えていないか
- 会員情報の一括取得やエクスポートに制限があるか
会員情報は、EC事業者にとって重要な資産である一方、攻撃者にとっても価値の高い情報です。
2. 管理画面や重要操作には多要素認証を導入する
ECサイトの管理画面や顧客データベースにアクセスするアカウントには、多要素認証を導入することが重要です。
IDとパスワードだけに依存していると、パスワード漏えい、使い回し、フィッシング、マルウェア感染などによって不正ログインされる可能性があります。
特に、以下の操作には追加認証や権限チェックを設けたいところです。
- 顧客情報の閲覧
- 顧客情報の一括ダウンロード
- 会員ステータスの変更
- 配送先情報の変更
- ポイント付与・変更
- 管理者権限の変更
- 外部連携設定の変更
ECサイトでは、購入者向けのログインだけでなく、管理者側の認証強化も重要です。
3. 不正アクセスを早期に検知できるログ監視を行う
不正アクセス対策では、侵入を防ぐだけでなく、異常を早く見つけることも重要です。
たとえば、以下のような挙動は監視対象になります。
- 短時間に大量の会員情報へアクセスしている
- 通常とは異なるIPアドレスや国から管理画面へアクセスしている
- 深夜や休日に大量のデータ取得が行われている
- 普段使われていない管理者アカウントが利用されている
- 会員情報の検索やエクスポートが急増している
- エラーや認証失敗が急増している
ECサイトでは売上や注文情報の監視に目が行きがちですが、セキュリティ観点では「誰が、いつ、どの情報に、どれだけアクセスしたか」を確認できる状態が重要です。
4. 個人情報を持ちすぎない設計にする
ECサイトでは、マーケティングやCRMのために多くの会員情報を保持しがちです。
しかし、保有する情報が多いほど、漏えい時の影響も大きくなります。
事業者は、以下の観点で保有データを見直す必要があります。
- その情報は本当に必要か
- 古い会員情報を保持し続けていないか
- 利用目的がなくなった情報を削除しているか
- 外部連携先に不要な情報を渡していないか
- 本番環境以外に個人情報を複製していないか
セキュリティ対策は、守る仕組みを増やすだけではありません。漏えいした場合の影響を小さくするために、保有する情報を最小化することも重要です。
5. インシデント発生時の初動対応を決めておく
不正アクセスが発生した場合、企業は短時間で多くの判断を求められます。
たとえば、以下の対応が必要になります。
- 不正アクセスの遮断
- 影響範囲の調査
- 対象者の特定
- 関係機関への報告
- 利用者への案内
- 問い合わせ窓口の設置
- 再発防止策の検討
- サービス停止や一部機能停止の判断
事前に手順が決まっていないと、対応が遅れたり、利用者への説明が不十分になったりする可能性があります。
ECサイトでは、売上への影響を恐れて対応が遅れることもあります。しかし、個人情報を扱うサービスでは、透明性のある初動対応が信頼回復の第一歩になります。
モバイル不正対策ラボの見解
今回のようなECサイトの不正アクセス事案は、単なる「情報漏えいニュース」として見るだけでは不十分です。
現在のEC利用は、スマートフォン経由が中心になっています。利用者はスマホでメールを確認し、SMSを受け取り、アプリやブラウザからログインし、決済やポイント利用まで行います。
そのため、ECサイトから流出した個人情報は、その後のモバイル起点の不正に使われる可能性があります。
たとえば、以下のような流れです。
- ECサイトの会員情報が流出する
- 氏名やメールアドレスを使ったフィッシングメールが届く
- 偽サイトでID・パスワードを入力してしまう
- 他サービスでも同じパスワードを使っていた場合、不正ログインされる
- ポイント交換、不正購入、登録情報変更などにつながる
つまり、ECサイトの個人情報流出は、そのサービス単体の問題にとどまらず、他の会員サービス、ポイントサービス、決済サービス、金融サービスにも波及する可能性があります。
EC事業者は、自社サイトの防御だけでなく、利用者が被害を広げないための注意喚起、認証強化、不正ログイン検知、ポイント不正利用対策まで含めて考える必要があります。
ECサイト運営企業が確認したいチェックリスト
ECサイトや会員サービスを運営している企業は、次の項目を確認しておきたいところです。
- 管理画面に多要素認証を導入しているか
- 管理者権限が必要最小限になっているか
- 退職者や委託先の不要アカウントが残っていないか
- 顧客情報の一括ダウンロードに制限を設けているか
- 大量アクセスや異常なデータ取得を検知できるか
- WAFや脆弱性診断を定期的に実施しているか
- ECシステム、CMS、プラグインを最新状態に保っているか
- 外部連携先のセキュリティ管理を確認しているか
- 個人情報の保有期間や削除ルールを定めているか
- 情報漏えい時の初動対応フローを準備しているか
- 利用者向けの注意喚起文面を事前に用意しているか
- ポイント不正利用やアカウント乗っ取りを監視しているか
これらは、大企業だけでなく、中小規模のECサイトでも確認すべき項目です。
まとめ
アーバンリサーチ公式オンラインストアの不正アクセス事案では、UR CLUB会員情報の一部が流出したおそれがあると公表されました。
クレジットカード番号は含まれていないとされていますが、氏名、住所、電話番号、メールアドレス、生年月日などの情報は、フィッシング、不審な電話、なりすまし、不正ログインの材料になり得ます。
利用者側では、不審なメールやSMSに注意し、パスワードの使い回しを見直し、決済履歴や登録情報の変更通知を確認することが重要です。
一方、EC事業者側では、管理画面の認証強化、アクセス権限の最小化、ログ監視、個人情報の保有最小化、インシデント対応手順の整備が求められます。
ECサイトの不正アクセスは、単なるシステム障害ではありません。顧客情報、ブランド信頼、問い合わせ対応、二次被害リスクに直結する経営課題です。
ECサイトや会員アプリを運営する企業は、今回のような事例をもとに、自社の認証、アクセス制御、監視体制、顧客通知体制を改めて確認しておく必要があります。
参考情報
- 株式会社アーバンリサーチ公式発表:アーバンリサーチ公式オンラインストアからの個人情報流出の可能性に関するお詫びとお知らせ
- ネットショップ担当者フォーラム:アーバンリサーチのECサイトに不正アクセス
- 日本ネット経済新聞:ECサイトで個人情報流出、不正アクセスで最大31万7326人の情報漏洩の恐れ