従業員特典を提供するソデクソは、映画券プラットフォーム「フィルモロジー」への「標的型攻撃」を受けて、多数の顧客に対しクレジットカードを解約するよう指示した。
英国の従業員に映画鑑賞券の割引を通じて報酬を提供するこの制度は、消費者に対する「さらなる潜在的なリスクを排除」し、消費者のデータを保護するために、「当面の間」サイトを閉鎖した。
ザ・レジスター紙が閲覧した顧客への電子メールの中で、ソデクソ・フィルモロジーは英国情報コミッショナー事務局と専門の科学捜査チームに通知したと述べた。
「3月19日から4月3日までの間にこのサイトを利用した従業員全員に、支払いカードをキャンセルし、支払いカードの明細書を確認するよう勧告する」と同社は述べた。
「これらの事件は、CREST認定のセキュリティ専門家と連携して数々の予防措置を講じていたにもかかわらず、当社のCinema Benefitsプラットフォームをホストするために使用しているシステムへの標的型攻撃によって引き起こされました。」
この問題は数か月前から続いているようで、2月には従業員1人がMoney Saving Expertフォーラムで詐欺未遂の被害に遭ったと訴えていた。
郵便配達員パットと30万通のスパムメールに1万2千ポンドの罰金
続きを読む
彼はこう書いている。「フィルモロジーに何が起こったのか正確に問い合わせたところ、決済ページから銀行口座情報が盗まれ、ICOに報告済みだと知らされました。決済ページへのハッキングは2ヶ月かけて行われ、多くのアカウントが影響を受けました。」
クレジットカード情報漏洩の法医学的調査を行う3Bデータ・セキュリティー社の創設者ベン・モリス氏は、「誰が悪いかという点については、調査結果を見なければ答えられない」と語った。
最終的な責任は加盟店にありますが、だからといって加盟店が侵害を引き起こしたわけではありません。第三者へのサービスのアウトソーシングや、使用しているソフトウェア製品の不具合が原因である可能性もあります。すべての加盟店はPCI DSS(クレジットカード業界のデータセキュリティ基準)に準拠する必要があります。
カードの解約を勧める理由は、Visa、MasterCard、あるいはカード発行会社が不正行為のパターンを察知し、加盟店が不正行為の常習的な購入先であると疑って警告を発したことが考えられます。「その場合、カード発行会社は顧客にこのような形で通知することで予防措置を講じているのです」とモリス氏は述べました。
彼は、ウェブサイトの閉鎖は、さらなる侵害を防ぐための一つの方法だと付け加えた。「このようなことは滅多に起きませんが、今回のケースでは、他の手段で支払いがまだ行われている可能性があります。繰り返しますが、必ずしもハッキングが行われたとは限りません。」
ソデクソは声明で、今回の侵害は英国とアイルランドの顧客のみに影響したと述べた。同社は以前にもソデクソ・フィルモロジー・プラットフォームにおける同様の個人データへの不正アクセスを認識しており、法執行機関を含む当局と影響を受けた顧客に直ちに通知したと述べた。
ソデクソは事件以降、サイトを注意深く監視・監査し続け、その結果、ソデクソ・フィルモロジーの特定のプラットフォームで使用されていた個人データへの不正アクセスが新たに確認されました。同社はさらに、CREST認定のセキュリティ専門家と連携し、数々の予防措置を講じていたにもかかわらず、今回の攻撃が発生したと付け加えました。その後、ウェブサイトの閉鎖を決定しました。
ご不便をおかけしましたことをお詫び申し上げます。代替手段を通じてこれらの特典をご利用いただけるよう、最善を尽くしております。詳細については、追ってお客様にお知らせいたします。®
