ECサイトの情報漏えい事案に学ぶインシデント対応
企業にとって、外部からの不正アクセスによる情報漏えいのリスクは避けて通れません。自社で情報漏えいが発生した場合、企業はどのような対応を取るべきなのでしょうか。今回は、ECサイトの情報漏えい事案から、望ましいインシデント対応を考察します。
目次
第三者の不正アクセスでクレジットカードの情報が流出
2025年8月8日、アニメグッズ・ホビー・ゲーム関連など幅広い商品の買取・販売などを手がける総合ホビーショップAが、公式ホームページに情報漏えいのお詫びとお知らせを公開しました。
同社によると、情報漏えいは自社が運営するECサイトで発生したもので、第三者の不正アクセスによるシステムの改ざんが原因でした。
また、情報漏えいの可能性があるのは、不正アクセスを検知した7月23日の翌日から8月4日の期間で、氏名、住所などの個人情報に加え、カード番号やセキュリティコードを含むクレジットカードの情報が対象であると発表しました。
事態を受け、同社は改ざんされたECサイトシステムの一部を特定し、8月4日に修正を完了しました。
個人情報漏えいへの対策は?従業員へのリテラシー教育の重要性を解説
企業における個人情報漏えい事故は増加傾向にあ
https://www.siemple.co.jp/isiten/情報漏えいの公表は不正アクセス検知から16日後
ここまで聞いた限りでは、情報漏えいのインシデントに適切に対処したと思えるかもしれません。
しかし、システムの修正を完了した時点で、A社は顧客への事実関係公表やカード決済を停止していませんでした。
被害の拡大を防ぐため、クレジットカード決済を全面停止したのは、公式ホームページで情報漏えいのお詫びとお知らせを公開した8月8日になってからでした。
対応の遅さや告知方法などへの批判も噴出
SNS上では、「7月中に改ざんに気づいたというだけで、決済ページがいつからスキミングされていたのかは一言も言っていない」「改ざんがわかって、8月8日まで(カード決済を)止めない&発表しないのはヤバい」など、対応の遅さへの批判が上がりました。
また、情報漏えいの告知方法とセールの告知などについても、「状況やばすぎるのにメールで通達しないどころか『セールやりまーす!』と言ってるの会社として体制を疑う」「重大な事態であるにもかかわらず、個別メールもなければ大々的なお知らせもない。のんきに大決算セールとかやってる場合か」といった非難が噴出しました。
さらに、「セキュリティや管理、いろいろ雑で信用ならないと思う」など、企業体質とセキュリティ意識の低さを質す投稿も見受けられました。
最も多くの批判が集中したのは、不正アクセスを検知してから公表・対策するまでの対応の遅さについてです。
公表までの間に大規模なセールを実施して被害者を増やしたのではないかという点にも、強い憤りの声が上がりました。
公式ホームページでは、セールの告知が最も目立つ場所に大きく掲載され、情報漏えいのお知らせはページの隅に小さく表示されていました。
その点に対しても、情報漏えいという重大な事実の告知方法が不誠実との不満が噴出しました。
こうした不満は、「商品の発送が遅い」「梱包が雑」「顧客対応が悪い」といった普段からの不満と結びつき、「やはり信頼できない企業だった」という厳しい評価につながったことは否めません。
インシデント対応への不満が一時的なものにとどまらなければ、長期的な顧客離れやブランドイメージの低下につながる可能性も危惧されます。
セールの告知もして通常営業を続けたことが問題
一方、PwC Japanグループの「サイバー攻撃被害に係る公表」に関する国内組織実態調査(※)によると、クレジットカード情報漏えい企業では「インシデント検知から初報」まで 1カ月以上要する割合が8割超とされています。
そのため、A社の16日間は統計上、特段遅いとは言えません。
しかし、同社の対応で最も問題視されたのは、企業の姿勢でした。7月23日に不正なアクセスを検知し、8月4日にはシステムの修正を完了、情報の流出も確認していました。それにもかかわらず、4日後の8月8日までカード決済の停止や顧客への公表を行いませんでした。さらにセール告知を伴う通常営業を継続していたのです。
インシデント発生後もクレジットカード決済を全面停止するなどの対策までに時間がかかったことで、セールの間も顧客がリスクに晒され続けていた可能性があります。
その点がユーザーの感情を大きく害し、厳しい批判につながった核心部分といえるでしょう。
※2022年10月から2023年9月末までにCISO Cyber Concierge2に掲載されたインシデントのうち、国内に所在する被害組織がインシデント公表を行った事例337件を調査対象とした調査
情報漏えいの翌日に第1報を公表したKADOKAWA
不正アクセスという点では共通しますが、インシデント発生後の広報対応において対照的だったのがKADOKAWAの事例です。
KADOKAWAが「ニコニコサービス」全般や「KADOKAWAオフィシャルサイト」「エビテン(ebten)」などで発生したシステム障害の第1報をリリースしたのは、事象発生の翌日です。
その後も、プレスリリースやSNS公式アカウントを通じて随時情報を発信しました。
被害の全容が不明な段階からでも、判明している事実を迅速かつ誠実に、そして定期的に発信し続けた姿勢は、ユーザーの不安を軽減し信頼の維持につながりました。
障害対応をおこなうニコニコ運営に対しては、応援投稿も見受けられました。
企業が学ぶべき3つのポイント
今回の事案から企業が学ぶべきポイントは、以下の3点です。
■クレジットカード情報の漏えいは、公表までに一定の時間を要する傾向
クレジットカード情報の漏えいは、外部からの指摘を端緒として発覚する割合が高く、正確な被害状況の調査が不可欠となります。
加えて、被害の規模によっては、お問い合わせサポートセンターの体制強化といった顧客対応準備も求められます。
企業としてはこれらの対応を進めつつも、顧客への被害発生が明らかになった段階で、迅速に公表に踏み切ることが重要です。
Brand Integrityとは?誠実さがもたらす炎上しづらい企業の特徴
SNSの普及で「一億総メディア」の時代が到来
https://www.siemple.co.jp/isiten/■インシデント発覚からサイト閉鎖などの対応
本事案で最も大きな批判を招いたのは、インシデント発覚後も顧客保護を優先せず、通常営業やプロモーションを継続した点です。
情報漏えいの公表タイミングを検討している間も、被害が拡大するリスクがある場合は、 まずサービスの一部停止(特に決済機能)を最優先で判断する必要があります。
ダークウェブの実態と企業が取るべき対策とは?~見えないインターネットの深淵~
デジタル化が進む現代社会において、企業活動はインターネットと密接に結びついています。しかし、その広大なインターネッ
https://www.siemple.co.jp/isiten/■迅速な第一報の重要性
PwC Japanグループのクレジットカード情報漏えいに限らない「サイバー攻撃被害に係る公表」に関する国内組織実態調査において、「インシデント検知から初報までにかかる日数」の国内中央値は「5日」で、 1週間以内に公表する企業が55%と半数を超えます。
企業の信頼は、いち早く第1報を出すことによって保たれると言えます。
もしも炎上してしまったら?ダメージを最小化するための対策法 | シエンプレ株式会社
siemple.co.jp謝罪になっていない謝罪「ご不快構文」の何が問題なのか? | シエンプレ株式会社
siemple.co.jp炎上リスクに備える「危機対応支援サービス」
シエンプレの「危機対応支援サービス」は、クライアントにおいて不祥事が起きたり、クライアントが何らかのトラブルに巻き込まれたりした際に、炎上のリスクや被害を抑制します。
本事案では、インシデント発覚後の発表タイミングや通常営業を続けていたこと、セールなどの告知に対して批判が集まりましたが、炎上発生時は多様な対応が求められます。
ネット上で批判が出る(もしくは出る危険性が高い)、マスコミから取材依頼が来る(もしくは来る可能性が高い)となれば、提携会社と連携してのコールセンター立ち上げや、記者会見のセッティングと運営、プレスリリースのライティングや配信などを支援します。
ネット論調の把握・分析、リスクチェックを通して企業が取るべき対応を適宜導き出し、事態収束まで継続的なモニタリングを実施することも可能です。
今さら聞けないネットやSNSの炎上予防・危機管理の超基本 | シエンプレ株式会社
siemple.co.jpブランディングSEOサービス紹介資料 | シエンプレ株式会社
siemple.co.jpWeb/ SNS深層モニタリングサービス紹介資料 | シエンプレ株式会社
siemple.co.jp「ダークウェブ監視」でサイバー攻撃の予兆を検知
弊社のサービスは「ダークウェブ」という一般の方がアクセスできない危険なサイトの巡回監視を網羅しています。
一般的なWeb領域の調査と並行し、サイバー犯罪に関する情報のやり取りが盛んなダークウェブを調査すれば、自社に対する攻撃の予兆をモニタリングでき、早期に対策を打つことも可能となります。
たとえば、各種IDやパスワードの情報流出が認められた場合は、早い段階でユーザーへの注意喚起などの対応を取れます。
セキュリティインシデントの発生時は、ダークウェブを緊急調査し、情報悪用の有無も確認します。
ダークウェブ調査は、マルウェア感染や情報奪取などのリスクが伴います。
企業で調査環境を準備することは、セキュリティポリシーとの兼ね合いや設備コスト、人員確保など多くのハードルもあります。
しかし、弊社にお任せいただければ、こうした手間やコストを負う必要はありません。
炎上のリスクや被害を抑えるには、専門会社によるサポートが効果的です。
デジタル・クライシス対策の強化をお考えの場合は、国内No.1の圧倒的な取引実績と信頼性、高度なノウハウを持つ弊社まで、お気軽にご相談ください。
「ホワイトハッカー」という、Webリスク対策における切り札
※この記事は雑誌『美楽』2018年
https://www.siemple.co.jp/isiten/ダークウェブ調査サービス紹介資料 | シエンプレ株式会社
siemple.co.jp