熊本ワイン株式会社で不正アクセス？原因や対策について解説！

美味しいワインを提供している「熊本ワイン会社」は2019年6月17日に、通販サイトが外部からの不正アクセスを受けたと発表しました。不正アクセスによって、顧客の個人情報が流出し、二次被害が懸念されています。

今回は、熊本ワイン株式会社で発生した不正アクセスの原因や対策について、詳しい内容を紹介していくので参考にしてみてください。

熊本ワイン株式会社とは？

熊本ワイン株式会社は、顧客により美味しいワインを飲んでもらうために、品質にこだわり抜いたワインを製造している会社です。オンラインショップも運営しており、多くの方に熊本ワイン株式会社のワインを飲んでもらうように、工夫が施されています。具体的には、どのような特徴を持った会社なのか紹介していきましょう。

・顧客にワインを楽しんでもらう

熊本ワイン株式会社の方針は、顧客に日常的にワインを取り入れてもらい、人生を豊かに感じるライフスタイルを提供したいということから、ワイン提供が実施されています。誕生日や特別な日にワインを飲む方はいますが、それだけでなく毎日の食卓にワインが取り入れられるほど、熊本ワインを身近な存在として認識して欲しいと活動を続けているのが特徴です。

・こだわり抜いた品質

熊本ワインの醸造が開始した時は、ぶどうの品種が「巨峰」・「マスカット・ベーリーA」の2種類だけでした。そこから「キャンベル・アーリー」・「デラウェア」を加えることで、バリエーションを増やすことに成功しています。産地についても、熊本市内と広範囲に取り組みを行うことで、現在の肥後六花シリーズの基盤になっているのが特徴です。

1999年には、山鹿市菊鹿町で菊鹿町葡萄生産振興会を設立し、契約栽培にも積極的に取り組みを行っています。2017年時点では、30軒の契約数になり、栽培面積も9ヘクタールを保有することになりました。

18年間積み上げてきた栽培技術と、恵まれた熊本の環境により、熊本ワインは高品質の味わいを実現しています。

熊本ワイン株式会社で発生した不正アクセス

熊本ワイン株式会社で発生した不正アクセスにより、顧客のクレジットカード情報が444件、個人情報7,542件が流出した可能性があると公表されています。原因は通販サイト決済機能に生じた改ざん被害によるものが関係しているそうです。

問題が発覚した後は、フォレンジック調査を実施し、攻撃者がサイト内のシステムを改ざんしたことで、顧客のクレジットカード情報などを盗み取った可能性があることがわかりました。

熊本ワイン株式会社は2019年1月23日に、熊本県警サイバー犯罪対策課から確認を受けて、今回の不正アクセスの対策を開始。決済機能の停止を実施し、第三者調査機関への調査依頼などを実施しましたが、結果として2019年2月26日に新たな脆弱性が発見され、セキュリティ上の観点から既存サービスの断念を決定したと発表しています。

現在では、新サービスサイトを立ち上げており、今後は問題が発生しないように、外部の専門のアドバイザーを含めて対応を進めるそうです。

熊本ワイン株式会社で発生した個人情報の流出の対象となったユーザーは、改ざんにより表示された偽サイトに情報を入力したユーザーで、対象期間は2018年12月5日～2019年1月30日になります。対象件数は444件で、流出した情報の詳細はクレジットカード番号・クレジットカード有効期限・セキュリティコード・クレジットカード名義人名・住所です。

他にもオンラインショップで新規カード登録・登録変更をしたユーザーで、対象期間2018年12月5日～2019年1月30日になります。対象件数は7,542件で、流出した情報の詳細は住所・氏名・電話番号・メールアドレス・購入履歴・発送先情報・会員ID・パスワードです。

クレジットカード情報が流出したことで、金銭的なトラブルに発展することが想定されます。そのため、顧客側は自己防衛の手段を取る必要が出てくるでしょう。自己防衛の手段としては、クレジットカードを再発行し、古いクレジットカードは破棄することで、二次被害を抑制することができます。

熊本ワイン株式会社は、不正アクセスが発見された時点で、サイトを閉鎖しましたが、すでに顧客のクレジットカード情報や個人情報が流出していることから、今後の対応が重要になってくるでしょう。

参考URL：https://cybersecurity-jp.com/news/31793

熊本ワイン株式会社の今後の対策

熊本ワイン株式会社で発生した不正アクセスによって、顧客のクレジットカード情報や個人情報が流出してしまいました。特にクレジットカード情報は、二次被害の発生が懸念されていることから、熊本ワイン株式会社は同様の問題が発生しないように、対策が求められています。

熊本ワイン株式会社としては、不正アクセスが発生しないように、セキュリティ体制を見直し、個人情報保護の管理体制を十分に整える必要があるでしょう。

またクレジットカード情報が流出していることから、二次被害に対しての準備も整えておく必要もあります。二次被害が発生した場合、熊本ワイン株式会社の責任が問われる可能性もあるので、事前に二次被害を想定した対策を講じることも大切です。

Pマークを取得することで顧客の信用を得る

熊本ワイン株式会社で発生した不正アクセスのように、顧客の個人情報が流出した場合、セキュリティ強化を図ったとしても、個人情報保護の管理体制が整ったことを外部にアピールしないと、伝わらないことがあります。そんな時に、外部にアピールする手段として有効なのが、「プライバシーマーク（Pマーク）」です。

プライバシーマーク（Pマーク）は、第三者機関の厳しい審査を経て、会社などに付与される個人情報保護の管理体制が十分に整っていることを証明するマークであることから、取得することで外部からの信用を得るきっかけにすることができます。

ただ取得するためには、十分な個人情報保護の管理体制を整える必要があることから、費用や時間がかかることが想定されるでしょう。それでも、プライバシーマーク（Pマーク）を取得することで、会社として高い信頼を得ることができるので、今回の熊本ワイン株式会社のように、不正アクセスのトラブルがあった場合は、問題が解決したことを外部にアピールするきっかけにすることができます。

まとめ

熊本ワイン株式会社で発生した不正アクセスによる、顧客の個人情報の流出はクレジットカード情報も含まれていることから、二次被害が懸念されます。速やかにサイトは閉鎖し、新しいサイトを立ち上げることで運営が続けられていますが、同様の問題が発生しないように、管理体制は十分整えていくことが重要になるでしょう。

特に二次被害が発生した場合のことを想定して、事前に対応準備を進めておくことが大切です。

熊本ワイン株式会社に求められる対応としては、セキュリティ向上と個人情報保護の管理体制を十分することになります。また外部にアピールする手段として、プライバシーマーク（Pマーク）を取得するという方法も、一つの手段として有効です。

十分にセキュリティ強化や個人情報保護の管理体制を整えれば、プライバシーマーク（Pマーク）を取得することができるので、積極的に取得を目指していきましょう。