目次

  1. 不正アクセスのあった3つのWebサービス
    1. フォームアシスト
    2. サイト・パーソナライザ
    3. スマートフォン・コンバータ
  2. 被害のあった企業サイト
    1. ABCマートでカード情報2298件漏洩の可能性
    2. 富士フイルムイメージングシステムズでカード情報851件流出か
    3. ユーキャンでカード情報200件漏洩の可能性
    4. 出光クレジットでもカード情報漏洩か
    5. カクヤスも新たに8000件超の情報漏洩の可能性を公表
  3. 情報漏洩発覚の経緯、取引先からの指摘
  4. ショーケースの不正アクセス対策

 ショーケースの公式サイトで、不正アクセスを受けたと説明しているWebサービスの説明は次の通りです。

 フォームアシストとは、サイトの入力フォーム最適化(EFO)ツールの一つです。

 サイトで個人情報を入力するフォームで、必須入力項目数を示したり、入力の手間を減らすために選択肢を提示したり、送信確認とエラー警告が繰り返したりすることを回避し途中で離脱する人を減らす効果があると説明しています。

フォームアシストの機能(ショーケースのプレスリリースから)

 2021年6月時点で5000フォーム以上の導入実績があると公表しています。

 サイト・パーソナライザとは、会員向けページなどで、ユーザの行動履歴に合わせたバナーを表示するツールです。顧客データベースと連携させずに、クレジットカードの利用金額が多いユーザだけにリボ払いを勧めたり、ポイントサイトで一定の期間利用がないユーザにだけ、キャンペーンをお知らせしたりすることができるといいます。

サイト・パーソナライザの利用イメージ(ショーケースのプレスリリースから)

 スマートフォン・コンバータとは、PC用サイトをスマートフォン用に自動で最適化表示させるツールです。

 ショーケースのサービスを自社サイトで利用し、利用者のクレジットカード情報の流出があったと明らかにしている企業は次の通りです。

 各サイトでは、利用者のカードが不正利用されないよう、クレジットカード会社と連携し取引をモニタリングしています。もし、覚えのない請求があった場合は「クレジットカードの裏面に記載のカード会社にお問い合わせください」と呼びかけています。

 ABCマートの公式サイトによると、2022年7月24~26日にABC-MART公式オンラインストアで利用者が入力したクレジットカード情報(クレジットカード番号、有効期限、セキュリティコード)2298件が外部のサーバーに送信され、漏えいした可能性があるといいます。

 富士フイルムイメージングシステムズの公式サイトによると、2022年7月19~29日に「FUJIFILMプリント&ギフト」でカード情報を入力した851人のクレジットカード番号、有効期限、セキュリティコードが漏洩した可能性があるといいます。

 ECサイト「フジフイルムモール」でも7月19~29日に注文時にカード情報を入力した519人のクレジットカード番号、有効期限、セキュリティコードが漏洩した可能性があるといいます。

 ユーキャンの公式サイトによると、2022年7月24~26日の期間中に通信講座を取り扱う「生涯学習のユーキャン」のサイトでカード決済した利用者200人の情報(クレジットカード番号、有効期限、セキュリティコード)が漏洩した可能性があるといいます。

 出光クレジットの公式サイトによると、会員サイト「ウェブステーション」の新規会員登録または再登録画面で、以下の時間帯に手続きをした会員に情報漏洩の可能性があります。

  • 7月19日7:49~7:58
  • 7月21日10:39~26日20:33
  • 7月27日9:53~29日0:20

 また、漏洩した可能性のある情報は以下のとおりです。

  • クレジットカード番号
  • 有効期限
  • セキュリティコード
  • 生年月日

 カクヤスの公式サイトによると、2022年7月19~29日に通販サイト「カクヤスネットショッピング」でカード情報を入力した8094人のクレジットカード番号、有効期限、セキュリティコードが漏洩した可能性があるといいます。11月1日にあらたに公表しました。

 7月28 日、ショーケース社からの連絡を受けた後、直ちにショーケース社のサービスの利用停止と切り離しを行ったと説明しています。

 取引先から2022年7月26日、「フォームアシスト」のソースコードに不審な記述があるという指摘があり、ショーケースが調査したところ、システムの一部の脆弱性をついたことによる第三者の不正アクセスでソースコードが書き換えられたことが分かりました。

 公表まで3ヵ月ほどかかった理由について、「不確定な情報の公開はかえっていたずらに混乱を招くため、ご関係者様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、公表は第三者専門調査機関の調査完了及び関係各所との連携を待ってから行うことにいたしました」と説明しています。

 ショーケースは対策として、不正アクセス発覚後すぐに、対象サービスのソースコードの修正、第三者の侵入を遮断する措置、新設サーバーへの移行等の再発防止策をとったといいます。