リカー・イノベーション株式会社で不正アクセス?原因と対策について解説!
リカー・イノベーション株式会社は2019年7月29日に、運営している「KURAND CLUB」で不正アクセスが発生したと発表しました。不正アクセスにより、個人情報が流出し、二次被害が懸念されています。
今回は、リカー・イノベーション株式会社の不正アクセスの原因や対策について、詳しい内容を紹介していくので、参考にしてみてください。
リカー・イノベーション株式会社とは?
リカー・イノベーション株式会社とは、酒類業界を盛り上げるために、品質の高いお酒を顧客に提供している会社です。商品企画・製造・物流・販売までを一貫して実施する「SPL」で事業を行っていることから、低価格で高品質のお酒を提供することができます。具体的に、どのような流れでお酒を顧客に提供しているのか紹介していきましょう。
・商品企画や製造
全国各地の個性的な酒造とパートナーシップを組み、日本酒を中心に日本のお酒を共同プロデュースして製造しています。数にして50ほどの酒造とパートナーシップを組んでいることから、幅広い味の日本酒を提供することが可能です。
製造はファブレスで酒造に委託しているのですが、スタッフや顧客まで製造に入り込み、新しい酒造りを実現しています。
・仕入れや卸売
都内に物流倉庫を所有していることから、酒造と共同で製造した商品を直接仕入れすることができます。都内を中心に物流機能を持っていることから、都内のパートナー飲食店に差業務用酒類販売を実施ているのが特徴です。
・メディアやプロモーション
酒類に特化したメディア「nomooo(ノモー)」を運営しており、大手酒類メーカーをはじめとした各メーカーのプロモーション支援を実施しています。
・ECや小売店、飲食店
酒造と共同で開発した商品をオンラインで販売し、都内を中心にグループ全体で30店舗を運営しています。自慢のお酒を提供することで、自社の宣伝を兼ねているのが特徴です。
リカー・イノベーション株式会社で発生した不正アクセス
リカー・イノベーション株式会社で発生した不正アクセスは、「KURAND CLUB」で確認されており、顧客のクレジットカード情報23件と個人情報が4,921件ほど流出した可能性があると公表しています。
不正アクセスの原因は、システム内の脆弱性が関係しており、攻撃者はサイト内に侵入した後、決済フォームを改ざんし、顧客の入力情報を読み取り続けていたことが想定されているそうです。
リカー・イノベーション株式会社は2019年3月14日に、警視庁から「KURAND CLUB」に向けてクレジットカード情報が流出している可能性があると通知を受けたことから、個人情報流出の可能性に気付いたとしています。
通知を受けたことでリカー・イノベーション株式会社は2019年3月15日に、第三者調査機関に調査を依頼し、2019年4月22日に寄せられた報告書にてシステムの脆弱性が存在していることに気付き、顧客のクレジットカード情報と個人情報が流出したことが懸念されていると事態を把握したようです。
調査報告を受けてから、個人情報流出の発表の期間が3ヶ月ほど空いた理由としては、リカー・イノベーション株式会社は正確な情報を把握し、対応の準備を整えてから発表することを考えたと発表しています。
クレジットカード情報が流出した顧客については、2019年3月11日~2019年3月14日の対象期間にクレジットカード決済を実行した顧客で、対象件数は23件です。具体的に流出したクレジットカード情報は、クレジットカード会員名・クレジットカード番号・クレジットカード有効期限・セキュリティコードとなっています。
個人情報については、会員登録を行っていた顧客が対象で、期間は2019年3月11日~2019年3月14日の4921件です。具体的に流出した個人情報は、氏名・住所・連絡先・購買履歴となっています。
流出した個人情報の中には、クレジットカード情報もあり、金銭的なトラブルに発展する恐れがあることから、顧客側も自己防衛の手段を講じることが大切です。自己防衛の手段としては、クレジットカードを再発行し、古いクレジットカードは破棄するようにしましょう。
参考URL:https://cybersecurity-jp.com/news/32724
リカー・イノベーション株式会社の今後の対応
リカー・イノベーション株式会社で発生した不正アクセスは、システムの脆弱性を狙われたことで引き起こされました。そのため、リカー・イノベーション株式会社の今後の対応としては、システムの脆弱性を改善し、セキュリティ強化を図る必要があります。
また顧客の個人情報が流出したことは、個人情報保護の管理体制が十分に整っていなかったことが考えられることから、個人情報保護の管理体制も一から見直す必要があるでしょう。個人情報が流出した対象期間は短いですが、実際に個人情報が流出した顧客がいることから、同様の問題が発生しないように対策を講じることが大切です。慎重にセキュリティ面で考慮する必要があるでしょう。
他にも23件ほどですが、顧客のクレジットカード情報が流出していることから、不正利用の二次被害が発生する恐れがあります。リカー・イノベーション株式会社としては、二次被害が発生しないように対策することも重要ですが、二次被害が発生した場合に対応できる準備も整えるおく必要があるでしょう。
不正アクセスの原因から何を改善しないといけないのか、対応を検討し、個人情報保護の管理体制を見直すことが求められています。
Pマーク取得で顧客の信用を取り戻す
リカー・イノベーション株式会社で発生した不正アクセスによって、顧客の個人情報は流出してしまいました。同様の問題が発生しないように対策を行うことが求められています。
そんな時に有効な手段としておすすめなのが、「プライバシーマーク(Pマーク)」です。プライバシーマーク(Pマーク)は、第三者機関の厳しい審査を通らないと取得することができないため、取得することで個人情報保護の管理体制が整っていることを証明することができます。
リカー・イノベーション株式会社は不正アクセスが発生したことから、同様の問題が発生しないように、プライバシーマーク(Pマーク)を取得することを検討することも重要になってくるでしょう。
ただプライバシーマーク(Pマーク)は、取得するために時間と費用がかかります。それでも会社側は取得するメリットが大きいので、取得を目指して損はないでしょう。
まとめ
リカー・イノベーション株式会社で発生した不正アクセスは、システムの脆弱性を狙っての攻撃であったことから、同じようなトラブルが発生しないように、セキュリティ強化を図る必要があります。また個人情報保護の管理体制についても、十分であったかどうか確認することも大切です。
他にも、顧客の個人情報を流出させてしまったことから、同様の問題が発生しないように、個人情報保護の管理体制を見直す必要があります。また外部に個人情報保護の管理体制が整ったことをアピールするために、プライバシーマーク(Pマーク)を取得することも検討した方がいいでしょう。
プライバシーマーク(Pマーク)を取得することは簡単ではありませんが、取得することで企業にとって大きなメリットになるので、取得を目指すことは大切です。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
続く不正アクセス。緑の窓口の「えきねっと」が攻撃された理由とは?
令和2年になっても、不正アクセスとその被害は続きます。 今回は、緑の窓口システム、通称「えきねっと」のシステムに起こったハッキングとその被害について、お届けしようと思います。 ちな […]
上場企業の個人情報流出は約1割の会社で起こるという衝撃のレポート
「日本の人口の7割が、個人情報漏洩のターゲットとなってしまった。」 この言葉を読んで、あなたはどう思いますか? 7割の確率で個人情報が危険にさらされるのです。 東京商工リサーチの調 […]
九州電力から個人情報漏洩。システム切り替え時に個人情報を誤って引き継ぎ
またしても大手企業から個人情報が漏洩しました。 一般に、個人情報の漏洩というと、悪意のある第三者によるハッキング行為をイメージするかもしれません。しかし、今回は、事故といいますか、 […]
「三菱電機がハッキング被害」個人情報漏洩。考えられるダメージと、できる対処は?
2019年6月、三菱電機の社内端末に異変があることが、情報システム部のチェックでわかりました。たいていの場合、大企業は本社・国内拠点・海外拠点がネットワークでつながっています。いわ […]