乳酸菌サプリのECを運営する健康いきいき倶楽部は3月29日、第三者による不正アクセスを受け、クレジットカード情報が流出した可能性があると発表した。流出したカード情報は3308件に上るとしている。同社によると、ECサイトはクレジットカード情報の非保持化に対応していたが、不正アクセスによって、決済情報の入力画面のリンク先が改ざんされていたという。
健康いきいき倶楽部は自社ECサイトなどで、乳酸菌サプリ「乳酸菌革命」を販売している。同商品は累計100万袋以上を販売したという。
流出したクレジットカード情報は、2019年12月14日~2020年12月4日の間に、同社のECサイト「健康いきいき倶楽部 公式通販サイト」において、新規にクレジットカード決済した顧客の情報。「クレジットカード名義人」「クレジットカード番号」「有効期限」「セキュリティーコード」の4項目の情報が流出した可能性があるとしている。
同社では2019年12月までに、割賦販売法が定める、クレジットカード情報の「非保持化」に対応していた。「非保持化」に対応後は、ECサイトで新規顧客がカード情報を登録する際、提携している決済代行会社の入力画面に遷移する仕組みになっていた。
同社の田中弘一によると、流出が発生した2019年12月14日時点で、不正アクセスによってサイトが改ざんされ、決済代行会社と不正アクセスした人物のサーバーの両方に、顧客情報が記録される仕組みになっていたという。
【記者の目】「非保持」対応しても油断ダメ健康いきいき倶楽部の情報が流出した原因は、ECサイト構築システムの脆弱性を突かれ、決済情報の入力画面のリンク先が書き換えられていた点にあるようだ。ECサイトでクレジットカード決済する場合、顧客は、①ECサイトの決済ページで決済手段を選択する ②クレジットカード決済を選択して、決済代行会社のページに遷移する ③遷移先のページにカード情報を入力する――の流れで、カード決済を行うケースが多い。今回の場合、ECサイトが改ざんされ、②の段階で遷移するリンク先を、不正なアクセス者のサーバーに変えられてしまったとみられる。
不正決済に詳しい、決済代行会社大手のDGフィナンシャルテクノロジーの、営業本部加盟店営業部第二部の川上誠之部長は、「ECサイトに脆弱(ぜいじゃく)性がある場合や、管理者アカウントが乗っ取られてしまった場合、改ざんが発生する可能性がある。『非保持化しているから大丈夫』ではなく、加盟店の環境全体でセキュリティー対策を行う必要がある」と話している。
