2019年3月26日(火)

任天堂キャラクターの販売サイトでカード情報が漏洩

2018/12/10 14:11
保存
共有
印刷
その他

日経クロステック

エディットモードは2018年12月7日、同社が運営する通販サイト「エディットモードショッピングサイト」が不正アクセスを受け、クレジットカード情報が漏洩したと発表した。同サイトはマリオやスプラトゥーンといった任天堂のゲームキャラクターのグッズを販売している。

エディットモードは18年7月11日、クレジットカード会社から指摘を受けて漏洩の可能性を把握したという。ただちにカード決済を中止し、翌12日にはサイトを閉鎖した。

調査すると、何者かが外部からウェブサイトのシステムにアクセスした痕跡を見つけた。原因の一つは、セキュリティー向上を目的に18年1月にシステムを刷新した際、管理画面に対するセキュリティー対策が不足していたからだ。管理画面はIDとパスワードだけでログインできるようにしており、「社内からだけでなく社外からもアクセスできた」(エディットモードの担当者)という。

攻撃者は不正アクセス後にシステムを改ざんし、利用者が画面から入力したカード情報をシステム内に残すように設定した。このため、カード番号や有効期限、名前に加えて、セキュリティーコードまで漏洩した可能性があるという。

漏洩した恐れがあるカード情報は18年3月7日から7月11日までに同サイトで商品を購入したときに使われたもの。1万4679件の入力があったが、そのうち実際に決済まで進んだカードは2169件だった。

入力された数と決済された数に1万件以上の差がある理由について、調査会社は「攻撃者が手元のカード情報が有効かどうかを同サイトの決済システムを使って確かめていた可能性がある」とみる。なお、カード情報を悪用した被害は現状把握してないという。

エディットモードは18年12月4日、通販サイトの会員に対して手紙で漏洩の事実を伝え、同サイトで使える500円分のクーポンを配布した。7月に漏洩が判明してから公表まで約5カ月間かかった理由は、「調査結果が出そろい、コールセンターの準備などを整えてから公表したほうがよいと、調査会社からの助言があったから」(担当者)としている。

現在運営しているサイト(editmode.shop-pro.jp)は被害を受けた旧サイト(editmode.jp)とは異なるシステムを使った代替サイトで、商品数を絞り、ポイント付与などの一部の会員サービスを中止している。エディットモードは今後、18年1月にシステムを納入した会社とは別の会社にシステム開発を依頼し、セキュリティー対策を十分施したうえで元のサイトで再開するための準備を進めているという。

(日経 xTECH/日経NETWORK 齊藤貴之)

[日経 xTECH 2018年12月7日掲載]

春割実施中!無料期間中の解約OK!
日経電子版が5月末まで無料!

保存
共有
印刷
その他

関連企業・業界 日経会社情報DIGITAL

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報