不正アクセスは、オンラインショップのシステムに使用されていたミドルウエアのセキュリティ上の脆弱性を突いたものだった。ジェイアイエヌが設置した「情報漏えい事故調査委員会」は、最終調査報告でジェイアイエヌとともにシステム開発ベンダーの責任を指摘した(表4)。
損害 | ・クレジットカード不正利用に伴う損害額 305万3000円 (不正利用額の申告があったものはその申告額、不正利用額の申告がなかったものは申告があった金額の最高額を損害額として仮定試算出) 6月20日時点で、クレジットカード会社からの損害賠償請求はない |
---|---|
・1万2036名に対して謝意(1000円のQUOカード) | |
・2059名に対してクレジットカード再発行にかかる手数料負担 | |
・調査費用等(事故調査依頼、委員会設置等) | |
・再発防止対策費(PCI DSSへ準拠、画面遷移型クレジットカード情報非保持サービスの導入) | |
・逸失利益(オンラインショップの売上げは全体の4%)サイト休止期間(3月14日から8月6日) | |
原因 (PCF社の調査結果) |
・第三者がオンラインショップのシステムに使用されていたミドルウエア「Apache Struts2」の脆弱性を利用してシステムに不正に侵入し、ファイルの変更権限を不正に取得 |
・当該システムに使用されていたStruts が、すでに過去に脆弱性が指摘されていた古いバージョンのものであった | |
責任の所在 | 【ジェイアイエヌ】 オンラインショップに関するシステムの構築および保守サポート業務をベンダーに一括委託していたが、結果的にベンダーにおける情報セキュリティ管理体制の不備が発生していることから、ベンダー選定時の調査・分析、システムの保守サポート業務品質の管理義務が十分になされていなかったという不備が認められる |
【ベンダー】 すでに脆弱性が指摘されていたStruts の古いバージョンを使用したまま、オンラインショップシステムの改修作業を完了しており、本来、システム開発会社として善良なる管理者の義務に基づき瑕疵(かし)のないシステム構成を設計すべき義務があるところ、それを看過してシステム構成の設計を行っていた点で責任がある |
仮に開発ベンダーに多くの過失割合が認められるとしても、ジェイアイエヌ名義において提供しているサイトで生じた事故であること、ユーザーとの利用規約やカード会社との加盟店契約はジェイアイエヌが契約当事者であることから、ジェイアイエヌは顧客およびカード会社に対しては全損害の責任を負う(図2)。