ECサイトでの購入やカード登録は便利ですが、決済画面の改ざんなどを起点に、入力した情報が抜き取られる被害が発生することがあります。とくにクレジットカード情報と個人情報がセットで漏れた可能性がある場合、カード不正利用だけでなく、なりすましやフィッシングなどの二次被害にも注意が必要です。
一方で、慌てて自己判断で対応すると、連絡や手続きが後手になり被害拡大恐れが高まることがあります。まずは「対象に当たるか」「どんな情報が漏れた可能性があるか」「何を優先して確認するか」を整理して、落ち着いて手順を踏むことが重要です。
そこで本記事では、ソースネクストの情報漏えい事案の概要と、想定されるハッキングリスク、利用者と企業それぞれが取るべき対処を解説します。
目次
ソースネクストで何が起きたのか
公表情報をもとに、対象期間と漏えいの可能性がある内容を整理します。まず全体像を把握してから、手続きの優先順位を決めると混乱しにくくなります。
- 対象期間:2022年11月15日〜2023年1月17日の間に、ソースネクスト公式サイトで購入・カード登録を行った顧客
- 漏えいの可能性:クレジットカード情報 最大112,132件、個人情報 最大120,982件(カード情報を含む)
- 原因:ECサイトの一部の脆弱性を突かれ、ペイメントアプリケーションが改ざんされ、入力時に情報が抜き取られた可能性
いわゆる「データベース全体の流出」ではなく、カード入力画面などで入力した情報を抜き取るタイプの攻撃が疑われます。
対象期間に購入・カード登録をしていた場合は、次章以降の「リスク」と「対処」を先に確認しておくと安心です。
漏えいの可能性がある情報
漏えいの可能性がある情報は、カード情報と個人情報の2系統です。どの情報が漏れた可能性があるかで、警戒すべき二次被害の種類が変わります。
クレジットカード情報(最大112,132件)
カード番号・有効期限・名義人に加え、セキュリティコードを含む情報が漏えいした可能性があるとされています。セキュリティコードまで含む場合、オンライン決済の不正利用に直結しやすいため、明細確認とカード会社への連絡を優先してください。
個人情報(最大120,982件)
氏名・メールアドレス・住所・電話番号などが含まれる可能性があります。これらが揃うと、企業名やカード会社を装った「本物らしい」フィッシングに悪用されることがあるため、メールやSMSの扱いに注意が必要です。
「入力時の抜き取り型」とみられる点
入力画面の改ざんにより、入力したカード情報などが抜き取られるタイプの攻撃が疑われます。この場合、対象期間中にカード入力・登録をしたかどうかが重要な判断材料になります。
自分で確かめられることは限られている
漏えいの事実や範囲は、外部からは判断しにくいことがあります。自己判断で操作や設定変更を進めると、後から確認すべき記録が残りにくくなる場合があるため、まずはカード会社への照会や明細確認など、確実にできる対応から進めることが大切です。
私たちデジタルデータフォレンジックは、累積47,431件以上のご相談実績(算出期間:2016年9月1日〜)をもとに、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験があります。お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたしますので、まずはお気軽にご相談ください。
想定されるハッキング・不正利用リスク
この事案で特に意識したいのは、カード不正利用とフィッシング(なりすまし)です。どちらも「時間差」で起きることがあるため、一定期間は継続して警戒してください。
カード不正利用
漏えいした可能性のあるカード情報が、オンライン決済や不正購入に使われるリスクがあります。少額決済から試されるケースもあるため、金額の大小にかかわらず「身に覚えのない利用」を見逃さないことが重要です。
フィッシング・なりすまし
氏名・メールアドレス・住所などが漏れた可能性がある場合、「ソースネクストのお詫び」「カード情報の確認」「返金手続き」などを装うメールやSMSが届くことがあります。リンクからログインさせたり、カード情報の再入力を誘導する手口が典型です。
二次被害が長期化する可能性
漏れた情報は転売・再利用される可能性があるため、一定期間は不審連絡に警戒が必要です。とくにメールアドレスが関与する場合は、他サービスへの攻撃(パスワード再利用を狙うログイン試行)にも注意してください。
リスクを理解したうえで考えるべきこと
不正利用やフィッシングは、被害が見えにくいまま進むことがあります。対処が遅れると金銭被害恐れが高まります。
当社では、情報漏えい調査を通じて、外部送信の有無や対象データの範囲、認証情報の不正利用や通信の異常の有無を確認し、被害の実態を客観的に把握できます。24時間365日体制で対応していますので、判断に迷う場合は早い段階で整理することをおすすめします。
利用者が取るべき対処
対象期間に利用していた、または通知が届いた場合を想定し、優先度の高い順に対処をまとめます。ポイントは「カード会社への連絡」と「フィッシング回避」です。
カード会社へ連絡し、利用明細を確認する
通知対象に該当する、または心当たりがあるカードは、カード会社に連絡して「本件に関連した不正利用がないか」を確認します。明細は直近分だけでなく、数か月分さかのぼって確認し、少額でも身に覚えがなければ調査・補償・再発行の手続きを相談してください。
- カード会社の公式窓口(アプリ・公式サイト・電話)から連絡します。
- 利用明細を数か月分確認し、疑わしい決済を控えます。
- 不審利用があれば、調査依頼と再発行の手続きを進めます。
カードの再発行と登録情報の見直しを行う
該当カードは再発行を前提に、各ECサイトやサブスクに登録しているカード情報を新カードへ切り替えるか、不要な登録は削除します。登録を放置すると、別サービスでの不正決済が起きた際に原因の切り分けが難しくなることがあります。
- カード会社に再発行の要否を確認し、必要なら手続きを進めます。
- 利用中のサブスクやECの登録カードを棚卸しします。
- 新カードに更新するか、不要な登録は解約・削除します。
フィッシングに警戒し、公式経路で確認する
「お詫び」「返金」「カード情報の確認」などを装うメール・SMSは、リンクを開かず、公式サイトや公式アプリからログインして確認します。電話番号やURLが本物に見えても、文面の誘導に従って情報を入力しないことが大切です。
- メールやSMSのリンクは開かず、公式アプリ・公式サイトを直接開きます。
- ログインや支払い情報の再入力を求められても、いったん保留します。
- 不安があれば、カード会社の公式窓口に確認します。
各種パスワードと認証設定を見直す
メールアドレスが関与している場合、他サービスで同じパスワードを使い回していると不正ログインの足がかりになります。メールアカウントを最優先で、強固なパスワードへ変更し、可能であれば多要素認証を有効化してください。
- メールアカウントのパスワードを変更し、使い回しを止めます。
- 多要素認証(認証アプリ等)を有効にします。
- 主要サービスのログイン履歴や通知設定を確認します。
サイバーセキュリティの専門業者に相談する
不審な兆候を確認した場合、サイバーセキュリティの専門業者への相談をお勧めします。サイバーセキュリティ専門業者は、システムがハッキングされたかどうか、攻撃がどのように行われたか、攻撃者がアクセスしたデータ、使用されたウイルスやマルウェア、攻撃のタイミングなど、詳細な調査が可能です。
このような専門的な調査を通じて、問題の全貌が明確になり、最適な対策を講じることができます。私たちデジタルデータフォレンジックは、累積47,431件以上のご相談実績(算出期間:2016年9月1日〜)をもとに、幅広い対応経験があります。
お電話またはメールでお問合せいただくと、相談から初期診断・お見積りまで、24時間365日無料でご案内しています。ので、まずはお気軽にご相談ください。
企業側の教訓(ハッキングリスクと対策のポイント)
同種の被害を防ぐには、脆弱性管理と改ざん検知、そしてカード情報を「自社で扱わない設計」が重要です。要点を3つに絞って整理します。
脆弱性管理とWeb改ざん対策
ECサイトや決済周辺の定期的な脆弱性診断、パッチ適用、WAF運用は基本になります。さらに、決済画面の改ざんを早期に検知するために、ファイル監視やコンテンツハッシュ監視など「改ざんの気づき」を仕組み化することが重要です。
カード情報の非保持化とPCI DSS対応
カード情報を自社サーバに通さない設計(トークン決済、リンク型決済など)を採用すると、漏えいリスクと運用負担を大きく下げられます。決済の責務分界を明確にし、システム構成の変化に合わせて評価を更新することが大切です。
監視とインシデント対応の整備
不正利用の兆候を早期に掴み、決済停止・調査・顧客通知へ移れる体制が被害拡大を抑えます。ログの保管や監視が弱いと、時間の経過とともに痕跡消える恐れが高まるため、インシデント時に必要なログが取得できる状態を平時から整えておくことが重要です。
再発防止は「対策を追加する」だけではなく、「検知→封じ込め→原因究明→改善」の一連が回ることが前提になります。
フォレンジック調査とは
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
インシデントが発生した場合、内容によっては特定の機関への報告義務が生じることがあります。自社のみで調査を行った場合、報告書の内容が認められないケースもあり、第三者機関による調査が一般的です。
私たちデジタルデータフォレンジック(DDF)は、官公庁、上場企業、捜査機関など、多様な組織のインシデント対応を行ってきた実績があります。
相談や見積もりは無料で、24時間365日体制でご依頼を受け付けています。早期対応が被害拡大防止の鍵となりますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
DDFは累計ご相談件数3.9万件以上のフォレンジック調査サービスです
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
