個人情報漏えい事故、3つの技術的な問題と2つの管理体制の問題が明らかに(イプサ) | ScanNetSecurity
2026.03.14(土)

個人情報漏えい事故、3つの技術的な問題と2つの管理体制の問題が明らかに(イプサ)

イプサは、「イプサ公式オンラインショップ」において2016年11月に発生した個人情報漏えい事故について、情報流出の原因や被害範囲、再発防止策を発表した。

インシデント・事故 インシデント・情報漏えい
159 views
facebookLINE
株式会社資生堂の子会社である株式会社イプサは1月31日、同社が運営する通販サイト「イプサ公式オンラインショップ」において2016年11月に発生した個人情報漏えい事故について、情報流出の原因や被害範囲、再発防止策を発表した。発表当時、同サイトのWebサーバにSSIの脆弱性があり、それを悪用しバックドアを仕掛けられたこと、結果としてサイトに登録されていたクレジットカード情報56.121件を含む顧客の個人情報421,313件が流出した可能性があるとしていた。

その後、決済代行会社との連携による調査の結果、クレジットカード情報流出の可能性がないとは断定できない9,699名、個人情報流出の疑いのある150名の存在が判明、それぞれ個別に連絡したという。また、外部の情報セキュリティ専門企業(株式会社ラック)の参画により実施した詳細調査の結果、3つの技術的な問題と2つの管理体制の問題が明らかになった。

技術的な問題は、SSIに起因する脆弱性の認識が甘く、十分な対策が取られていなかったこと、同サイトのセキュリティ対策がファイアウォールのみであったこと(他のセキュリティ対策も導入済みであると誤認していた)、本来はサイト内にクレジットカード情報を保持しない設計であったのに、デバッグモードのまま運用されており、決済処理のログが残る状態になっていたことが判明した。

管理体制の問題は、同社内のサイト管理に関する責任部門が不明確であり、また委託先であるソフトウェア開発会社に対する管理監督や意思疎通が十分ではなく、技術情報の継承や正しい状況把握ができていなかった。そして、サイトの構築時は開発計画のみ共有しており、システムの詳細については確認されていなかった。システム稼働後の監査においても、毎年実施していたものの口頭や紙面による報告ベースで、詳細な内容確認はできていなかったという。同社では、これらの問題点への対策も発表している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 奴らの仕事は自社製品を壊しまくること ~ Microsoft 攻撃研究チーム「STORM」が示すセキュリティの本気度

    奴らの仕事は自社製品を壊しまくること ~ Microsoft 攻撃研究チーム「STORM」が示すセキュリティの本気度

  2. 誤操作の発覚を恐れて委託先社員がログから記録を削除・変更したことが原因 ~ JAL「手荷物当日配送サービス」システム障害

    誤操作の発覚を恐れて委託先社員がログから記録を削除・変更したことが原因 ~ JAL「手荷物当日配送サービス」システム障害

  3. 厚生労働省初動対応チームの派遣を受け対応 ~ 白梅豊岡病院にランサムウェア攻撃

    厚生労働省初動対応チームの派遣を受け対応 ~ 白梅豊岡病院にランサムウェア攻撃

  4. L2 スイッチでゼロトラストを実現、「セキュリティ予算」でなく「ネットワーク機器予算」で導入 ~ パイオリンクが語る超現実解

    L2 スイッチでゼロトラストを実現、「セキュリティ予算」でなく「ネットワーク機器予算」で導入 ~ パイオリンクが語る超現実解PR

  5. アドバンテストのネットワークに不正アクセス、ランサムウェア展開可能性

    アドバンテストのネットワークに不正アクセス、ランサムウェア展開可能性

ランキングをもっと見る
PageTop
ホーム インシデント・事故 インシデント・情報漏えい 記事
TOP