写真●JINSオンラインショップの不正アクセスに関する最終報告
写真●JINSオンラインショップの不正アクセスに関する最終報告
[画像のクリックで拡大表示]

 ジェイアイエヌは2013年5月1日、同社のJINSオンラインショップへの不正アクセスによる情報漏洩(関連記事1関連記事2)についての最終報告を公表した。漏洩した可能性のあるクレジットカード情報は2059件で、これまでに20件の不正利用の申告があった。不正侵入はミドルウエア「Apache Struts 2」の脆弱性を突いて行われたという。

 JINSオンラインショップでは2013年3月6日にバックドアプログラムが設置され、第三者のサーバーにクレジットカード情報が転送されるようにプログラムが改ざんされていた。同社では3月14日に不正アクセスの痕跡を発見し、通販サイトを閉鎖していた。

 漏洩した可能性のあるクレジットカード情報の範囲は、2013年3月6日から3月14日の間に同社オンラインショップでクレジットカードによる購入手続きを行った顧客の情報2059件。このうち、現在までに不正利用があった旨の申告を受けている件数は20件。同社が見積もった最大損害想定額は305万3000円となっている。ただし、警察による捜査の結果、クレジットカードが不正利用され、商品が指定住所へ発送されたものの、逃走などにより未到達となり、未遂に終わっているものも相当あるという。

 また調査により、犯人はオンラインショップのシステムに使用されていたミドルウエアApache Struts 2の脆弱性を突いて不正侵入し、ファイルの変更権限を不正に取得したことが判明した。システムに使用されていたStrutsは、すでに過去に脆弱性が指摘されていた古いバージョンのものだった。

 同社では再発防止策として、クレジットカード決済システムの国際的なセキュリティ基準である「PCI DSS」に準拠した体制を構築する。またシステム面では、カード決済の際に、決済代行会社のWebサイトへ移動し、購入者のクレジットカード情報が同社のサーバーを一切通過しない方式に変更する。これらの対策を行い、クレジットカード会社の審査などを経て、2013年6月中にオンラインショップを再開することを見込んでいる。

 同社では当初クレジットカード情報が流出した可能性があるとしていた顧客1万2036人に対し1000円分のQUOカードを送付するとともに、クレジットカードの再発行手数料を負担することを表明している(関連記事3)。

[発表資料へ]