資生堂情報流出
カード情報が不正使用
された可能性も!
その初動対応とは!?

資生堂情報流出。カード情報不正使用された可能性も! その初動対応とは!?


42万件情報漏れか 資生堂、カード情報も

資生堂は2日、百貨店で化粧品事業を手がける子会社「イプサ」(東京都港区)のウェブサイトに不正アクセスがあり、個人情報約42万件が流出した可能性があると発表した。

(2016年12月2日 朝日新聞 夕刊)より抜粋


システム上の脆弱性により情報流出
カード情報が不正使用された可能性が

資生堂によると、イプサの公式オンラインショップが外部から不正アクセスを受け、システム上の脆弱性により、クレジットカード情報で最大5万6121件、クレジットカード情報以外の住所や生年月日などで最大42万1313人分が流出した可能性があり、サイト以外でカード情報が不正使用された可能性があるという。

流出した可能性があるクレジットカード番号については、イプサよりクレジットカード会社各社に提供し、既に各社で不正利用取引の監視を行っている。さらに、対象となるお客さまのカードのご利用明細に不審な取引があった場合は、カード裏面に記載のクレジットカード会社にお問い合わせいただくようお知らせしている。また、本件対応でクレジットカードが再発行となる場合は、手数料はイプサが負担するとしている。

●イプサ公式サイト 専用相談窓口
TEL:0120-62-9020(フリーダイヤル)
Eメール:ipsa.cs@ipsa.co.jp
受付時間:9:00~20:00(土日祝も含)

発覚後ただちに対策本部を立ち上げ
イプサがとった迅速かつ的確な初動対応

今回の事故を受け、イプサは、ただちに対策本部を立ち上げ、警察署と経済産業省に報告、インシデント発覚後、約20日で発表まで至っている。この迅速な対応は、できる限りの被害拡大抑止につながっていると考えられる。

■イプサの対応

11

4
  • 決済代行会社からクレジットカード情報の流出懸念について連絡を受ける。
  • ・ただちにイプサ公式オンラインショップにおけるクレジットカード決済を停止。
  • ・社内関連部門による対策本部を立ち上げる。
  • ・第三者機関へ調査を依頼。
11

7
  • 赤坂警察署に報告。
11

8
  • 経済産業省に報告。
11

25
  • 第三者機関より調査報告書を受領。
  • ・カード会社などと協議。お客さま対応についての準部を整え、発表。
  • ・対象となるお客さまにお詫びとお知らせに関する電子メールを送付し、資生堂グループ企業情報サイトおよびイプサ公式サイトにも同内容を掲載。併せて、書面でも郵送を開始。

今後イプサは、原因の解明と再発防止に向け、社外の有識者も交えて調査を行う予定。経済産業省は、詳細な事実関係や再発防止策などを12月16日までに報告するよう求めている。

今の時代、インシデント予防策だけではなく
事後対応策の準備も必須

サイバー攻撃の被害に遭わないためには、予防策を施すことが肝心だ。しかし、いくら最新の予防策を取り入れても絶対とはいえない。そこで、準備しておきたいのが、インシデント発生時の被害の拡大を迅速に食い止め、二次被害を抑止するための「インシデント対応マニュアル」だ。
イプサにそれがあったかは不明だが、今回の対応を見ると、できる限り迅速で的確な初動対応だったといえる。
「インシデント対応マニュアル」は、規模を問わず、すべての企業で準備しておいてもらいたいものだ。
「インシデント対応マニュアル」の作成にあたっては、JPCERTコーディネーションセンターの『組織内 CSIRT 構築の参考資料 インシデント対応マニュアルの作成について』を参考にするとよいだろう。
ダウンロードはこちら>>