獣医学本の販売サイト エデュワードプレスオンライン、2024年4月の不正アクセスにより個人情報やクレジットカード情報が漏洩

株式会社EDUWARD Pressは、同社が運営するオンライン販売サイト「エデュワードプレスオンライン」（https://eduward.online）に対して第三者による不正アクセスがあり、最大で13,433名分の個人情報およびクレジットカード情報が漏えいした可能性があることを公表しました。本記事では、インシデントの概要、原因、影響範囲、再発防止策について解説します。

サイバー攻撃発覚から公表までの経緯

• 2024年12月4日：警視庁サイバー犯罪対策課より不正プログラムの設置について連絡。即時に該当サイトを一時閉鎖。
• 2024年12月5日以降：クレジットカード会社・第三者調査機関に報告、調査を開始。
• 2024年12月12日：登録ユーザーへ第一報をメール通知、企業サイトにも告知を掲載。
• 2025年1月28日：調査完了。最大13,433名の個人情報および13,193件のカード情報の漏えい可能性を確認。
• 2025年4月3日：調査結果に基づき正式に情報を公表。

漏えいの原因

ペイメントアプリケーションの改ざんが行われ、クレジットカード情報を含むデータが外部に流出した可能性。

漏えいした可能性のある個人情報

対象期間：2021年3月20日〜2024年11月24日までに同サイトで購入した顧客13,433名分の以下情報

• メールアドレス、ログインパスワード
• クレジットカード名義
• クレジットカード番号、有効期限、セキュリティコード

クレジットカード情報の漏洩に注意

今回クレジットカード番号とセキュリティコードも漏洩しています。

クレジットカードが不正利用される可能性があるので、怪しい決済がないかを注視し、心当たりのない決済履歴がないか利用確認する必要があります。

ECサイトの一般的なセキュリティ対策

今回の事案は、脆弱性を突いた典型的なサプライチェーン攻撃に該当するものであり、アプリケーションレイヤーのセキュリティ対策の不備が主要因と考えられます。

ログイン情報やクレジットカード情報を扱うシステムでは、脆弱性診断の定期実施、WAFによる監視強化、ゼロトラストアーキテクチャの導入が再発防止には欠かせません。