どうもコンバンハ。アンソニーアンソニーです。

WordPressを使ったECサイトにて情報流出のニュースが出てましたので、ご案内を。

 通販サイトでカード情報2万2000件が流出 – セキュリティコードも

海外ブランドの服飾雑貨を販売するリデアは、オンラインショップが不正アクセスを受け、クレジットカード情報2万2544件が流出したことを明らかにした。セキュリティコードも含まれるという。

同社によれば、10月8日から15日にかけて脆弱性を攻撃されてサーバへの侵入を許し、顧客のクレジットカード情報を取得されたという。10月16日にクレジットカード決済代行会社よりカード情報が流出した可能性があると指摘を受け、サイトを停止して調査を行ったところ判明した。（Security NEXT – 2014/11/12 ）

はい。決済代行会社の指摘ですね。もう少し早く気付けなかったのでしょうか。

今回の不正アクセスは、SQLインジェクションの脆弱性を突かれたもので、サイトで利用していたコンテンツマネジメントシステム（CMS）「WordPress」のアカウント情報が奪われたことが原因だと説明している。

流出した情報は、2013年3月8日から2014年10月15日にかけて「クルアチーニC」で利用されたクレジットカード情報2万2301件や、2013年3月21日から2014年10月20日までに「クルアチーニ」で利用されたクレジットカード情報243件。いずれもクレジットカード番号、有効期限、セキュリティコードが含まれる。（Security NEXT – 2014/11/12 ）

WordPressの本体のバージョンや、使っていたプラグイン自体に脆弱性があったのか分かりませんが、もし公開されている脆弱性情報なのであれば防げたはずですよね。また、個人情報をサイト自身が持っているつくりをしていた為に起きたともいえます。

いずれにせよ未然に不正アクセスを防ぐ対策、またもし万が一侵入された時の為の対応など、準備が必要です。

「万全のセキュリティ対策が整うまでの間、いずれのウェブサイトも休止させていただきます。」とのことですので、機会損失も含めた損害はやはり計り知れないです。

「対策しないといけないが、今被害にあってないので、後日検討を」とか「うちみたいなサイトには被害は起きない」など考えているあなた！！

被害にあってからでは遅いです。保険的な捉え方でもいいですし、問題が起きる前に対策を検討してみては如何でしょうか。