ソースネクストの製品情報・販売サイトからクレジットカード情報が漏えいした可能性があり、1月5日からクレジットカード決済を停止し調査した結果、120,982件の個人情報ならびに112,132件のクレジットカード情報が漏えいし、一部のクレジットカードが不正利用された可能性があることが公表されました。

製品情報・販売サイトからの個人情報漏えい事案
2023年01月04日 クレジットカード会社から情報漏えい懸念について連絡
2023年01月05日 カード決済を停止、第三者機関による調査を開始
2023年01月06日 個人情報保護委員会に報告
2023年01月10日 所管警察署に被害申告
2023年01月13日 総務省関東総合通信局に報告
2023年01月17日 不正プログラムの特定と削除を完了
2023年01月23日 調査完了、クレジットカード情報不正利用の可能性があることを確認
2023年02月14日 お知らせ

不正アクセスの対象
 ソースネクスト製品情報・販売サイトのシステム
不正アクセスの原因
 システムの一部の脆弱性がつかれ、ペイメントアプリケーションの改ざんが行われたため
漏えいの可能性がある情報
 個人情報(氏名、メールアドレス、郵便番号、住所、電話番号)120,982件
 クレジットカード情報(カード名義人名、クレジットカード番号、有効期限、セキュリティコード)112,132件
漏えいの可能性がある対象者
 2022年11月15日~2023年1月17日の期間中にソースネクスト製品情報・販売サイトにおいて購入ならびにクレジットカード情報を登録されたお客様
サービスへの影響
 クレジットカード決済を停止中

公式サイトsourcenext.co.jp
 Akamaiに設置され、WebサーバーはASP.NETで提供され、GeoTrustのSSL証明書(DV証明書)で暗号化されています。
製品情報・販売サイトsourcenext.com
 Akamaiに設置され、WebサーバーはASP.NETで提供され、GeoTrustのSSL証明書(DV証明書)で暗号化されています。
関連するシステム
 製品情報・販売サイトはCMSとしてSitecore MCSとContent Hubが採用され、スマホ対応はイーストが実現しました。
 ECシステムは社内開発されたもののようですが、決済システムについては不明です。
 ソースネクストのメールシステムはOffice365のサービスを利用しています。

過去のセキュリティ事案
 ECサイトの不具合による事案は以下のとおり複数回発生しています。
 不正アクセスによる事案は初めてです。

2018年02月27日 「超クーポン」サイト内で個人情報が誤表示された件についてのお詫びとお知らせ
2016年05月12日 弊社サイトのマイページで個人情報が誤表示された件についてのお詫びとお知らせ
2015年03月27日 弊社サイトのマイページで個人情報が誤表示された件についてのお詫びとお知らせ

類似のセキュリティ事案
 ペイメントアプリケーションの改ざんによる事案はこれまでも多数発生しています。
 クレジットカード情報入力画面を乗っ取る仕組みのため、すべての利用者がセキュリティコードを含む全情報を盗み取られます。発覚が遅れるほど比較的小規模なECサイトでも被害人数が多くなります。
 仕組みの詳細と対策について、マクニカのセキュリティ研究センターのブログにまとめられています。

2023年02月14日 (64日間、112,132名) 本事案 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
2023年02月08日 (389日間、861名) 弊社が運営する「丹野こんにゃくオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
2023年01月12日 (521日間、7,024名) 弊社が運営する「SHIGETA PARIS公式オンラインストア」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ
2022年11月28日 (687日間、5,471名) 弊社が運営する「GENTOS公式ストア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
2022年11月21日 (60日間、1,938名) 弊社が運営する「ワコムストア」への不正アクセスによる 個人情報漏洩に関するお詫びとお知らせ
2022年07月13日 (363日間、28,700名) 弊社が運営するカタログギフト販売ECサイト「カタログギフトのハーモニック」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

 また、Web画面最適化サービスが乗っ取られ、クレジットカード情報入力画面の情報を盗み取られるケースも多数発生しており、これらも類似の事案です。

2022年11月15日 (10日間、424名) 不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ (日本出版販売)
2022年11月10日 (11日間、164名) クレジットカード情報漏えいに関するお詫びとお知らせ (エスビー食品)
2022年11月01日 (11日間、8,094名) クレジットカード情報漏洩に関するお詫びとお知らせについて (カクヤス)
2022年10月26日 (11日間、851名) 弊社が運営するECサイト「FUJIFILMプリント&ギフト」への不正アクセスによるクレジットカード情報漏洩に関するお詫びとお知らせ
2022年10月26日 (3日間、200名) 弊社が運営する「生涯学習のユーキャン」サイトにおける個人情報漏洩に関するお詫びとお知らせ
2022年10月25日 (3日間、2,298名) 弊社が運営する「ABC-MART公式オンラインストア」における個人情報漏えいの可能性に関するお詫びとお知らせ
2022年10月25日 画面最適化サービス 不正アクセスに関するお知らせとお詫び

ニュースサイト等の記事
2023年2月14日
ITmedia NEWS (518文字)
 ソースネクスト、最大で個人情報12万人分、カード情報11万人分漏えいの可能性 不正アクセス受け
ケータイ Watch (747文字)
 ソースネクスト、不正アクセスで10万件以上の個人情報が流出
CNET Japan (808文字)
 ソースネクスト、11万人超のクレカ情報流出–「第3者の不正アクセスが原因」
NHK NEWS WEB (517文字)
 ソースネクスト “12万人超の顧客の個人情報 漏えいのおそれ”
ITmedia PC USER (1198文字)
 「ソースネクスト」Webサイトで個人情報とクレジットカード情報の漏えいが発生 最大で約12万件が流出のおそれ
INTERNET Watch (951文字)
 ソースネクストに不正アクセス、個人情報・カード情報10万件超が漏えいの可能性
Impress Watch (1012文字)
 ソースネクスト、クレカ情報漏洩11万件 セキュリティコードも
TECH+ (997文字)
 ソースネクストのECサイトから個人情報が漏えい、クレジットカード情報も
日テレNEWS (446文字)
 ソースネクスト 12万人分の個人情報漏えいの可能性…その中には11万人分のカード情報も 不正アクセスで
共同通信 (267文字)
 顧客情報12万件流出恐れ ソースネクスト
日本経済新聞 (327文字)
 ソースネクスト、12万件の個人情報漏洩か クレカ情報も
2023年2月15日
毎日新聞 (404文字)
 ソースネクスト、顧客情報12万件流出の恐れ 不正利用の可能性も
FNNプライムオンライン (324文字、0分56秒)
 ソースネクスト 個人情報12万人分漏えいか  カード不正利用の可能性も
ScanNetSecurity (829文字)
 ソースネクスト・サイトへ不正アクセス、112,132名のカード情報漏えい
PC Watch (724文字)
 ソースネクスト、不正アクセスでクレジットカード情報11万件漏洩の可能性
週刊アスキー (784文字)
 ソースネクスト、クレジットカード情報を含む個人情報11万件以上の漏洩を発表
プラスデジタル (1025文字)
 ソースネクスト、12万件以上の個人情報と11万件以上のクレカ情報が漏洩
日経クロステック (660文字)
 ソースネクストでカード情報約11万件漏洩の恐れ、ECサイトに不正アクセス
サイバーセキュリティ.com (495文字)
 ソースネクストがサイバー攻撃被害、カード情報11万件や個人情報12万件流出か
BCN+R (908文字)
 ソースネクスト、不正アクセスによる個人情報漏えい、対象者には個別に連絡
ガジェット通信 (1481文字)
 ソースネクストの個人情報流出が問題視 / クレジットカード情報は犯罪に使えるレベルで漏洩か
2023年2月16日
ITmedia エンタープライズ (1000文字)
 ソースネクストの顧客情報12万件以上が漏えい セキュリティコード含むクレジットカード情報も流出
Security NEXT (556文字)
 ソースネクストで個人情報流出 – カード決済止めるも不正プログラム削除が後手に
2023年2月17日
TECH+ (1409文字)
 ソースネクスト、不正アクセスで個人情報漏えいの可能性 クレジットカード情報11万超が対象