目次

  1. 不正アクセスのあった3つのWebサービス
    1. フォームアシスト
    2. サイト・パーソナライザ
    3. スマートフォン・コンバータ
  2. 被害のあった企業サイト
    1. ABCマートでカード情報2298件漏洩の可能性
    2. 富士フイルムイメージングシステムズでカード情報851件流出か
    3. ユーキャンでカード情報200件漏洩の可能性
    4. 出光クレジットでもカード情報漏洩か
    5. カクヤスも新たに8000件超の情報漏洩の可能性を公表
    6. エスビー食品「お届けサイト」でも漏洩の可能性
    7. カバーマークもクレジットカード情報2259件が漏洩の可能性
    8. e-ca公式サイトも15件が漏洩の可能性
    9. 「あっとよか」でも漏洩の可能性
    10. 「CHARLE WEB STORE 」でも漏洩の可能性
  3. 情報漏洩発覚の経緯、取引先からの指摘
  4. ショーケースの不正アクセス対策

 ショーケースの公式サイトで、不正アクセスを受けたと説明しているWebサービスの説明は次の通りです。

 フォームアシストとは、サイトの入力フォーム最適化(EFO)ツールの一つです。

 サイトで個人情報を入力するフォームで、必須入力項目数を示したり、入力の手間を減らすために選択肢を提示したり、送信確認とエラー警告が繰り返したりすることを回避し途中で離脱する人を減らす効果があると説明しています。

フォームアシストの機能(ショーケースのプレスリリースから)

 2021年6月時点で5000フォーム以上の導入実績があると公表しています。

 サイト・パーソナライザとは、会員向けページなどで、ユーザの行動履歴に合わせたバナーを表示するツールです。顧客データベースと連携させずに、クレジットカードの利用金額が多いユーザだけにリボ払いを勧めたり、ポイントサイトで一定の期間利用がないユーザにだけ、キャンペーンをお知らせしたりすることができるといいます。

サイト・パーソナライザの利用イメージ(ショーケースのプレスリリースから)

 スマートフォン・コンバータとは、PC用サイトをスマートフォン用に自動で最適化表示させるツールです。

 ショーケースのサービスを自社サイトで利用し、利用者のクレジットカード情報の流出があったと明らかにしている企業は次の通りです。

 各サイトでは、利用者のカードが不正利用されないよう、クレジットカード会社と連携し取引をモニタリングしています。もし、覚えのない請求があった場合は「クレジットカードの裏面に記載のカード会社にお問い合わせください」と呼びかけています。

 ABCマートの公式サイトによると、2022年7月24~26日にABC-MART公式オンラインストアで利用者が入力したクレジットカード情報(クレジットカード番号、有効期限、セキュリティコード)2298件が外部のサーバーに送信され、漏えいした可能性があるといいます。

 富士フイルムイメージングシステムズの公式サイトによると、2022年7月19~29日に「FUJIFILMプリント&ギフト」でカード情報を入力した851人のクレジットカード番号、有効期限、セキュリティコードが漏洩した可能性があるといいます。

 ECサイト「フジフイルムモール」でも7月19~29日に注文時にカード情報を入力した519人のクレジットカード番号、有効期限、セキュリティコードが漏洩した可能性があるといいます。

 ユーキャンの公式サイトによると、2022年7月24~26日の期間中に通信講座を取り扱う「生涯学習のユーキャン」のサイトでカード決済した利用者200人の情報(クレジットカード番号、有効期限、セキュリティコード)が漏洩した可能性があるといいます。

 出光クレジットの公式サイトによると、会員サイト「ウェブステーション」の新規会員登録または再登録画面で、以下の時間帯に手続きをした会員に情報漏洩の可能性があります。

  • 7月19日7:49~7:58
  • 7月21日10:39~26日20:33
  • 7月27日9:53~29日0:20

 また、漏洩した可能性のある情報は以下のとおりです。

  • クレジットカード番号
  • 有効期限
  • セキュリティコード
  • 生年月日

 カクヤスの公式サイトによると、2022年7月19~29日に通販サイト「カクヤスネットショッピング」でカード情報を入力した8094人のクレジットカード番号、有効期限、セキュリティコードが漏洩した可能性があるといいます。11月1日にあらたに公表しました。

 7月28 日、ショーケース社からの連絡を受けた後、直ちにショーケース社のサービスの利用停止と切り離しを行ったと説明しています。

 エスビー食品の公式サイトによると、2022 年7月19日~29日に「お届けサイト」でクレジットカード情報を入力した164人のクレジットカード番号、有効期限、セキュリティコードが漏えいした可能性があるといいます。

 カバーマークの公式サイトによると、2022年7月19日~2022年7月26日にカバーマーク公式オンラインショップにおいてご注文時にクレジットカード決済をされたお客様のクレジットカード情報2259件について、クレジットカード番号、有効期限、セキュリティコードが漏洩した可能性があるといいます。2023年1月10日に公表しました。

 ベストリンクの公式サイトによると、2022年7月24日~26日の期間中に「e-ca公式サイト」で、クレジットカード情報の入力をされた15人のクレジットカード番号、有効期限、セキュリティコードが漏洩した可能性のあるといいます。2023年1月11日に公表しました。

 長寿の里の公式サイトによると、2022年7月19~29日の間に、ECサイト「あっとよか」内で新規カード登録の手続きをした37人の会員の行った37件のクレジットカード番号、有効期限、セキュリティコードが漏洩した可能性のあるといいます。2023年1月19日に公表しました。

 シャルレの公式サイトによると、2022年7月19日7時49分55秒から26日20時33分40秒、または7月26日22時31分2秒から29日1時48分8秒に、「CHARLE WEB STORE(シャルレ ウェブストア)」のカード情報を入力した605人のクレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコードが漏洩した可能性があるといいます。2023年1月24日に公表しました。

 取引先から2022年7月26日、「フォームアシスト」のソースコードに不審な記述があるという指摘があり、ショーケースが調査したところ、システムの一部の脆弱性をついたことによる第三者の不正アクセスでソースコードが書き換えられたことが分かりました。

 公表まで3ヵ月ほどかかった理由について、「不確定な情報の公開はかえっていたずらに混乱を招くため、ご関係者様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、公表は第三者専門調査機関の調査完了及び関係各所との連携を待ってから行うことにいたしました」と説明しています。

 ショーケースは対策として、不正アクセス発覚後すぐに、対象サービスのソースコードの修正、第三者の侵入を遮断する措置、新設サーバーへの移行等の再発防止策をとったといいます。