サイバー攻撃による顧客情報漏洩事件が続発している。2013年5月25日から6月5日までの間に、モバイル通信端末レンタルのエクスコムグローバルで約11万人分のクレジットカード情報が漏洩したほか、三越伊勢丹ホールディングスや阪急/阪神百貨店などを運営するエイチ・ツー・オー リテイリング、玩具卸のハピネットでも顧客情報が漏洩した(表)。
特に問題が深刻化しているのがエクスコムグローバルである。クレジットカード裏面などに記載された「セキュリティコード」も漏洩したからだ。このコードはオンライン決済の安全性を高めるために用いられる。そのため、クレジットカードのセキュリティ標準規格「PCI DSS」では、企業がセキュリティコードを保管することを認めていない。
にもかかわらず、エクスコムグローバルは決済処理後もデータをサーバーに保存していたため漏洩を招いた。同社は、「データを消去する運用をしていたが、実際はシステムの不具合のためサーバーに残っていた」と釈明する。
エイチ・ツー・オーでは、カード情報の取り扱いに不適切な部分があった。会員情報の変更ページでカード番号全てを閲覧できたため、不正にログインした攻撃者がカード情報を盗み出せた。オンラインショップの画面ではカード番号の一部をマスク処理していたが、この画面ではそうした対策が施されていなかった。ハピネットも会員情報のページでカード番号が全て見える仕様だったことが、漏洩の原因となった。
サイバー攻撃の問題を深刻化させた理由はほかにもある。攻撃を企業が把握してから顧客などに公表するまでのタイムラグが大きいことだ。ハピネットは発見3日後に公表していたが、三越伊勢丹は10日後、エイチ・ツー・オーは16日後である。エクスコムグローバルにいたっては、ゴールデンウィークを挟んで1カ月以上も、サイバー攻撃による情報漏洩の事実を公表していなかった。
各社は「被害範囲の特定や問い合わせ窓口の準備に時間がかかった」などと釈明する。だが、素早く公表していれば、カードが不正利用されていないかどうかを顧客自身が確認したり、他のネットサービスのパスワードを変更してプライバシー侵害を防いだり、といった自己防衛ができた。
同じ失敗を繰り返さないためにも、サイバー攻撃を受けた際の対応策や顧客情報の管理状態などが適切かどうかを、システム部門は早急に再点検しよう。