ジェネシス・イーシー、カード情報9500件が流出
2017年 9月 7日 10:21
ジェネシス・イーシーは8月29日、同社が提供する通販サイト構築パッケージ「ジェネシスイーシー」を導入した通販サイト利用者のクレジットカード情報、約9500件が流出したと発表した。
同社によれば、5月9日にジェネシスイーシーを導入した通販サイトと決済代行会社から、クレジットカード情報の流出懸念について連絡があり、全ての導入サイトにおけるクレジットカード決済を5月18日に停止。第三者調査機関である「ペイメントカードフォレンジックス(PCF社)」に調査を依頼した。
調査の結果、今年3月23日~5月18日の期間に、リーベが運営する「ウッドデッキ・DIYのリーベ」など計18サイトでカード決済を利用した消費者のカード情報、最大9458件が流出したことが判明。カード番号のほか、有効期限、セキュリティーコードが流出し、5月18日までの累計で、8件の不正利用被害が発生しているという。
ジェネシス・イーシーによれば、同社が用意した、カード情報の入力画面にぜい弱性があり、第三者に改ざんされたことが流出の原因。システムを利用する通販サイトの決済画面から、同社の入力画面を通じてカード情報が決済代行会社に渡される仕組みだが、入力画面が改ざんされたことで、情報のコピーがリアルタイムで第三者に渡っていた。
また、今回の調査により、ジェネシス・イーシーのサーバー内に、過去カード決済を利用した消費者のカード番号が不適切に保存されていたことが発覚。2009年3月以前にシステムを利用する通販サイトでカード決済をした消費者の一部が対象で、最大4581件で12サイトが該当する。
流出した恐れのある情報の内容はカード番号、有効期限、セキュリティーコード、カード名義、電話番号で、対象のカード番号において現時点では不正利用被害は確認されていない。これは、09年に決済代行会社を変更した際、データ移行の作業中にエラーが出たカード情報(与信が通らなかった、有効期限切れなど)がサーバー内に保存されていたという。
同社では、流出対象のカード番号をカード会社各社に提供し、取引のモニタリング強化をカード会社に依頼している。ジェネシスイーシー採用の通販サイトにおけるカード決済はすべて停止しており、PCF社から指摘があったシステムのぜい弱性と管理体制の不備については、即日実施可能な対策を行ったあと、さらなる改修を指示し、順次改修を進めているという。今後はクレジットカードのセキュリティー基準である「PCI DSS」を取得した企業の用意した入力画面を使うようにする。
カード情報が流出した消費者に対しては、再発行の手数料を無償にするほか、被害が出た場合の補償も負担する。一方、システムを利用する通販サイトについては、カード決済ができなくなる等の実害が生まれているが、「個別対応にはなるが、利用規約でこうした場合の補償は免責されている」(ジェネシス・イーシー)という。なお、利用企業へのシステム利用料の請求は行っていない。
