11社のECサイトから顧客情報漏洩。最大43万件。ジーアールが提供する「オムニECシステム」が流出元

11社もの流通業のEC（電子商取引）サイトから顧客情報が流出した。約80社が利用するSaaSのサーバーがサイバー攻撃を受けたためだ。

漏洩した可能性がある利用者情報は延べ43万件以上で、カード情報も含まれる。攻撃手法は「クロスサイトスクリプティング（XSS）」だった。

SaaSの提供元は攻撃検知ツールなどを導入していたが、守りを突破された。

11社のECサイトから顧客情報漏洩　最大43万件、新手の攻撃が対策をすり抜け

「御社のEC（電子商取引）サイトからクレジットカード情報が漏洩した可能性がある。調査してほしい」。2021年9月1日、流通大手のベイシアはクレジットカード会社から連絡を受けた。

クレジットカード会社がカード会員からの問い合わせを基に調査した結果、クレジットカードが不正利用されたと判断した。カード会員の利用履歴から判断すると、ベイシアのECサイト「ベイシアネットショップ」からの漏洩が疑われるという。

ベイシアはSaaS型のECサイト構築サービスを使って自社ECサイトを運用していた。京都市に本社を置くITベンダー、ジーアールが提供する「オムニECシステム」だ。カード会社からの報告を受けたベイシアは提供元のジーアールに問い合わせた。これが、ベイシアを含む11社からの顧客情報漏洩が明るみに出る発端となった。

ジーアールは外部の専門家を交えてすぐに調査を始めた。2021年9月1日から調査に着手し、同日にはアクセスログから、オムニECシステムの基幹サーバーに対する不正アクセスの痕跡を見つけた。さらに9月3日には、この基幹サーバーに攻撃者が用いたとみられる不正なプログラムがあることを発見した。

ジーアールによれば、オムニECシステムの利用企業は約80社ある。オムニECシステムは流通業界に強い東芝テックが販売代理店となっており、東芝テック経由での販売実績が59社ある（一部退会も含む）。

オムニECサイトへの不正アクセスについてまとめてみた - piyolog

日本においても、ECの利用が拡大するに伴い、クレジットカード番号が狙われる事件が増えてきた。クレジットカードの不正利用被害についても急激に増えてきている。その推移などについても調べているので、興味がある方は以下を覗いてみてください。

クレジットカード不正利用被害額 1997-2020