5万2958件「情報漏洩」全国に約800店舗『大手チェーン店』詳細発表まで4カ月に疑問の声も
大手カフェチェーン「タリーズコーヒー」は3日、通販サイト「タリーズ オンラインストア」のユーザのIDやパスワードなどが9万2685件、クレジットカード番号とカード名義人名、セキュリティコードなどが5万2958件、流出した可能性があると発表。
通常は暗号化してシステム上に保存されるユーザーパスワード、およびシステム上には保存されないはずのセキュリティコードまで流出し、ユーザがクレカを不正利用されるなど大きな被害を受ける可能性があるとの指摘も出ている。また、同社は5月30日に自社サイト上にリリース「不正アクセスによるシステム侵害発生のお詫びとお知らせ」を掲載して個人情報の一部流出が懸念されると記載していたが、詳細内容の発表まで4カ月の間隔が空いたことに疑問の声もあがっている。
全国に約800店舗を展開するタリーズコーヒーは、国内カフェチェーンとしてはスターバックス コーヒー、ドトールコーヒーショップ、コメダ珈琲店に次ぐ4位(店舗数ベース)。米国シアトル発祥のスペシャルティコーヒーをウリとし、運営元のタリーズコーヒージャパンは現在は伊藤園の子会社となっている。
そのタリーズは3日、運営する「タリーズ オンラインストア」に登録された会員情報、およびクレジットカード決済で利用されたクレカ情報が漏洩した可能性があると発表した。漏洩した可能性のある情報は以下のとおり。
・会員情報
氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報
・クレカ情報
クレジットカード番号、カード名義人名、有効期限、セキュリティコード
情報漏洩事故といえば、KADOKAWAのシステム障害の事案が記憶に新しい。6月、動画共有サービス「ニコニコ動画」や会社のオフィシャルサイト全体など広い範囲で障害が発生し、同社はサイバー攻撃を受けた可能性が高いと発表。犯行声明を出していたハッカー集団は盗んだデータを公開し、従業員の個人情報や取引先情報などを漏洩させた。
今回、タリーズは情報漏洩の原因について、システムの一部の脆弱性をついたことによる第三者の不正アクセスによりペイメントアプリの改ざんが行われたためだとしているが、KADOKAWAと同様にサイバー攻撃を受けて身代金を要求されていた可能性はあるのか。
データアナリストで鶴見教育工学研究所の田中健太氏によると、「その可能性はないと考えられます。システム内部にランサムウェアを侵入させてもクレカのセキュリティコードは存在しないため盗むことはできないので、今回のケースは、クレカの情報を詐取して不正にユーザのお金を盗むことが目的だと考えられます」とのこと。
タリーズは5月20日に警視庁からの連絡を受け情報漏洩の可能性に気がつき、同日に「タリーズ オンラインストア」でのカード決済を停止し、同月23日にオンラインストアを一時閉鎖。同月30日に、不正アクセスによりシステム侵害が発生して個人情報の一部流出の懸念がある旨を公表し、クレカ決済をしたユーザは利用履歴を確認するよう呼び掛けた。
そして今回の詳細内容の発表まで4カ月の間隔が空いたことに疑問の声もあがっている。同社は第三者調査機関によるフォレンジック調査の完了を待ったためとしているが、大手SIerのSEはいう。
「規模や攻撃の種類が違うので単純な比較はできませんが、KADOKAWAは6月上旬にサービス停止となり、その時点で可能な範囲で被害状況などを説明し、7月に情報漏洩が確認されるとすぐに漏洩した項目を公表し、8月上旬には多くのサービスを復旧させました。タリーズは4カ月たった現在もサービス開始の見通しを発表しておらず、やや対応スピードが遅いという感は否めません。
また、個人情報とクレカの番号、名義人名、セキュリティコードが漏洩すると不正利用されてユーザのお金が詐取される恐れがあり、非常にヤバい類いの事案といえ、被害の拡大を防ぐためにも漏洩の可能性を認識した時点でただちに発表すべきだったという考えもあるでしょう」
とBusiness Journalは報じている。
編集者:いまトピ編集部