クレジットカード情報漏えいに関するよくあるお問い合わせ

重要なお知らせ

このブログポストをシェアする

「弊社サイトへの不正アクセスによるクレジットカード情報漏えいに関するお詫びとお知らせ」につきまして、よくあるお問い合わせを以下にまとめさせていただきます。

Q) 漏えいの可能性がある期間が2020年11月27日から2020年12月9日ということですが、それ以外の期間に決済したのですが大丈夫なのでしょうか？

A) 第三者調査機関による調査を行っております。上記期間にご決済いただいた195件のクレジットカード以外に漏えいの可能性はございません。ご安心ください。なお、ご不明な点がございましたら何なりとお問い合わせ窓口までご連絡をいただければと存じます。また、実際に不正使用があったお客様の購入日を分析したところ、12/2、12/3、12/4、12/8、12/9にご購入いただいたお客様に集中しております。

Q) 今後安心して利用できるのでしょうか？

A) 今回の事態を厳粛に受け止め、第三者調査機関の指示によるセキュリティ向上のための必要な措置をすべて実施いたしました。今後も継続してセキュリティ向上に努め、お客様からの信頼回復に全力を尽くしてまいりたいと存じます。

Q) 不正使用に対する対応、カード再発行、変更手続きなどに多大な時間を要しました。何らかの補償はないのですか？

A) 本文にてご説明させていただいているように、すべての不正使用・カード取替費用に関しては弊社にて負担させていただきますが、お客様にお手数をお掛けしていることに関して、深く反省するとともに、重ねてお詫び申し上げます。今後取らさせていただく対策・対応については随時ご連絡をさせていただきたいと思っておりますので何卒宜しくお願い申し上げます。

Q) 初期発見が2020年の12/9で、公表が2021年の3/29。なぜこんなにも発表が遅れたのですか？

A) 一刻も早いお客様への連絡を目指してクレジットカード会社や調査会社と昼夜を問わずやり取りを行って参りましたが、ご連絡がこのような時期になってしまったこと、大変申し訳ございません。クレジットカード会社と協議してまいりましたが、不要な混乱を避けるため、ご連絡ができずにおりました。第三者調査機関の調査完了、カード会社各社の確認を待ち、ようやくお客様にお知らせすることができるようになりました。

Q) 今までに実施したセキュリティ向上対策を教えて下さい。

A) 今後二度と同様の事件を起こさないために、以下の施策を行いました。
・ファイルアップロード機能の脆弱性を直ちに修正するとともに、SELinuxの有効化を行い、改ざん防止に関するセキュリティを向上させました。(2020年12月)
・サーバーの環境を最新のOS/ミドルウェアで構成されるセキュアなパブリッククラウド環境に移行いたしました。(2020年12月)
・高機能なファイアウォール(WAF)を導入し、不正なアクセス・攻撃を遮断する対策を行いました。(2021年1月)
・サーバー環境、管理ツールに2段階認証を導入しました。(2021年2月)
・サーバーにアンチウイルスソフトを導入し、定期的にウイルスチェックを行っております。(2021年2月)
・クリティカルなOS/ミドルウエアレベルのパッチの定期的な適用を行っております。(2021年3月)
・ファイル改ざん検知を行うFIM(File Integrity Monitoring)ソリューションを導入しました。(2021年4月)
・以上の他にも、様々なセキュリティ向上策を実施いたしました。

Q) 今後実施する予定のセキュリティ向上対策を教えて下さい。

A) 第三者調査機関及びセキュリティ専門会社の指導の元、以下の施策を実施予定です。
・セキュリティ専門会社による定期的なセキュリティ診断の実施。
・内部脆弱性評価の定期的な実施。
・SIEM(Security Information and Event Management)の活用によるログの長期に渡る保管
・以上の他にも、システムの堅牢性を高める施策を継続的に実施してまいります。

Q) クレジットカード情報(カード番号、有効期限、セキュリティコード)をサーバーに保管していましたか？

A) いいえ。Stripe社が提供するPCI-DSS準拠の非通過型(JavaScript型)の決済サービスを利用しており、弊社サーバーには一切お客様のクレジットカード情報は保存されておりませんでした。今回の攻撃は、決済ページを改ざんすることによって、本来のクレジットカード入力フォームの場所によく似せた同様の入力フォームを配置し、決済ボタンが押下されたタイミングで入力された情報が攻撃者のサイトに転送される仕組みになっておりました。

Q) クレジットカード情報の漏えいの可能性があるということはどういう意味ですか？漏えいしていない可能性もあるのですか？

A) 実際に攻撃者のサイトに転送された情報が確認できたわけではなく、攻撃ファイルがサーバーに存在した期間に決済が行われたすべてのカードについて「可能性がある」として手続きを進めております。よって、この期間に決済されたお客様も実際には漏えいしていない可能性がございます。実際に不正使用があったお客様の購入日を分析したところ、12/2、12/3、12/4、12/8、12/9にご購入いただいたお客様に集中しております。それ以外の期間は偽フォームを取り下げていた可能性があります(※これは実際に弊社でも確認しておりました)。

Q) 不正利用があった場合、どのように弁済されますか？また、カードの交換については費用が発生しますか？

A) 今回のインシデントに関連して発生したすべての費用は、お客様にご負担いただくことはございません。報告の本文にありますように、クレジットカードの利用明細をご確認いただき、不正な利用がある場合はクレジットカード会社まで連絡のほどを必ずお願いいたします。

Q) 今後もApparelXはサービスを続けますか？

Q) ApparelXから退会してすべての情報を削除して欲しいのですが？

A) マイアカウントのアカウント削除より、アカウント情報の削除を行ってください。弊社サイトに保存されているすべての情報が削除されます。

Q) クレジットカード決済の受付はいつ再開しますか？

A) 現在決済代行会社と協議を行っております。再開の際はサイト上でアナウンスをさせていただきます。(4/28追記) カード会社各社様からの承認を経て、2021/4/28にクレジットカード決済を再開させていただきました。

0人の方がこのレビューが参考になったとレポートしました

関連ブログポスト