fbpx

情報セキュリティにまつわる
お役立ち情報を発信

JR九州運営の通販サイトで不正アクセス?原因や対策について解説!

JR九州(九州旅客鉄道株式会社)は2019年4月12日に、運営するオンラインショップ「ななつ星gallery」が何者かによって不正アクセスを受けたと発表しました。不正アクセスによって、顧客の個人情報が漏洩したと公表していますが、どのような個人情報が漏洩したのでしょうか。

今回は、JR九州(九州旅客鉄道株式会社)で発生した不正アクセスの原因や対策について紹介していくので、参考にしてみてください。

JR九州(旅客鉄道株式会社)運営の「ななつ星gallery」とは?

JR九州(九州旅客鉄道株式会社)が運営している「ななつ星gallery」とは、クルーズトレイン「ななつ星in九州」関連商品を販売しているサイトで、ネットで簡単に予約を取ることができることから、海外の方からも人気のあるサイトとして活用されていました。

現在は不正アクセスのトラブルを受けて、サイトが閉鎖されているため、利用することはできませんが、セキュリティを向上した上で問題がないと判断された際には、サイト運営が再開されることも検討されています。

他にも、JR九州(九州旅客鉄道株式会社)では、駅・きっぷ・列車予約など、運行情報といった内容を確認することができるサイトを運営しており、九州で鉄道を利用する上では欠かせない情報を掲載しているのが特徴です。

インターネット限定の割引切符や最寄りのホテルの予約をサイトで行うこともできるため、九州への旅行を検討されている方にもおすすめのサイトを運営しています。

JR九州(九州旅客鉄道株式会社)で発生した不正アクセス

JR九州(九州旅客鉄道株式会社)で発生した不正アクセスは、サイトシステムの脆弱性を攻撃され、発生したようです。攻撃者は内部に侵入し、システムが保有していた顧客の個人情報であるクレジットカード情報を流出したとされています。他にも、数多くの個人情報が流出しており、二次被害が懸念されているようです。

クレジットカード情報などは、直接金銭的なトラブルに発展する恐れもあることから、情報が流出した恐れのあると感じる方は、自己防衛の手段を講じる必要があるでしょう。新たにクレジットカードを発行し、古いクレジットカードは破棄するように対策する必要があります。

不正アクセスが発覚したのは、2019年3月11日に、決済代行会社から「カード流出の可能性」と連絡が入ったことからわかったそうです。連絡を受けたことで、被害の拡大を防ぐため、JR九州(九州旅客鉄道株式会社)は2019年3月11日中に、サイトの閉鎖を決めています。その際に、第三者調査機関に詳細の調査を依頼する対応を取り、システム上の脆弱性が発見されました。

2019年3月18日には、調査会社の報告では情報流出の可能性が高いと通告され、2019年4月12日に不正アクセスがあったことを外部に公表しています。

不正アクセスが発覚したことで、「ななつ星gallery」を速やかに閉鎖したことは、被害を拡散しないためにも素早い対応であったため、今後の被害拡大は防ぐことができたでしょう。

再度、「ななつ星gallery」を運営するためには、サイトの脆弱性を改善し、さらに不正アクセスが発生しないためにもセキュリティの向上を図る必要があります。

参考URL:https://cybersecurity-jp.com/news/30926

不正アクセスによって流出した個人情報

JR九州(九州旅客鉄道株式会社)で発生した不正アクセスによって、具体的にはどのような個人情報が流出したのでしょうか。流出した個人情報は、2013年10月5日~2019年3月11日に「ななつ星gallery」を利用した顧客が対象となっています。

さらに流出した個人情報の詳細は、会員登録したユーザーであれば、最大3,086件のクレジットカード情報であるカード番号・カード有効期限・カード名義人名・セキュリティコードなどが漏洩した恐れがあるでしょう。

他にも、氏名・住所・郵便番号・電話番号・FAX番号・性別・生年月日・メールアドレス・職業・パスワードなどが流出した疑いが強いとされています。

また「ななつ星in九州」に乗車し、後日配送にて配送限定品を購入したユーザーについても、氏名・住所・郵便番号・電話番号などの個人情報が流出した可能性が高いとされているので、利用したユーザーは二次被害のために、自己防衛の手段を取ることが大切です。

特にクレジットカード情報については、新たにクレジットカードを発行し、古いクレジットカードは破棄するといった対策を講じることが重要になってくるでしょう。

JR九州(九州旅客鉄道株式会社)は、今回の不正アクセスを受けて、顧客に対してメールや郵便でお詫びと経緯を書面で説明しています。また新規にクレジットカードを発行する際の手数料についても、負担すると公表しているので、顧客としてはある程度安心できる対処を施していると言えるでしょう。

また対策についても、セキュリティを向上させると公表しているので、時間はかかりますが、いずれ「ななつ星gallery」が開催される日も来るかもしれません。

ただ今回のような不正アクセスは、二度と発生しないように個人情報保護の管理体制を十分に整える必要があることから、セキュリティ向上は強固なものにし、その分費用と従業員の負担がかかることが予想されるでしょう。

参考URL:https://cybersecurity-jp.com/news/30926

不正アクセスなどのトラブルはPマーク取得で改善

今回のJR九州(九州旅客鉄道株式会社)で発生した不正アクセスは、システムの脆弱性を狙われ、個人情報が流出してしまいました。さらに流出した個人情報は、クレジットカード情報といった金銭的なトラブルに発展する恐れのある情報であることから、JR九州(九州旅客鉄道株式会社)は早急な問題解決に努めることが求められています。

そんな不正アクセスなど、個人情報保護のトラブルについては、プライバシーマーク(Pマーク)の取得などが有効的な手段として活用することが可能です。プライバシーマーク(Pマーク)は、第三者機関によって、個人情報保護の管理体制が整っていることを証明するものであることから、取得することで外部に個人情報保護の管理体制が十分であることをアピールすることができます。

プライバシーマーク(Pマーク)は、取得するために審査が入ることから、費用や手間が発生するでしょう。しかし上場企業などもプライバシーマーク(Pマーク)を取得する動きが高まっていることからも、信用される企業とするためには、プライバシーマーク(Pマーク)の取得は重要な要素となっています。

特に、今回のJR九州(九州旅客鉄道株式会社)が起こしてしまった、個人情報の漏洩といったトラブルから、対策を講じたということをアピールするためにも、プライバシーマーク(Pマーク)を取得することが有効的に働くことがあるので、取得を目指すことは大切です。

まとめ

JR九州(九州旅客鉄道株式会社)で発生した不正アクセスは、システムの脆弱性を攻撃され、顧客の個人情報が流出するトラブルに発展してしまいました。早急に対策は取りましたが、二次被害の発生が懸念されています。

同様の問題が発生しないためにも、一刻も早いセキュリティ向上の対策を講じることが大切です。顧客については、自己防衛の手段として、クレジットカードを再発行するなどの対策を講じる必要があるので、しっかり対処するようにしましょう。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る