ランサムウェアのように事業継続に直接影響しないからか、あまり大きな報道にならないが、ペイメントアプリケーションの改ざんによる個人情報窃取が頻発している。直近でも、
・全漁連のJFお魚マルシェ
・菓子店東京玉子本舗
・サッカーチームの東京ヴェルディ
・老舗のマルカワ味噌
・洋菓子のヴィタメール
などのECサイトが改ざんされ、利用者のクレジット情報(カード番号・期限・セキュリティコード)や、ID/パスワードが盗まれた。これらの企業はECが本業ではなく、リアル店舗の補助の位置づけでサイトを展開していたのだろう。そこでオープンソースのECサイト関連ツールを使って、サイト構築や運営をしていたものと思われる。
その場合脆弱性をカバーする運用などの措置は、運営事業者に委ねられるのだが、十分な人材や時間を投入できなかったので、改ざんを許し顧客のデータを盗られてしまったのだろう。
9万件もの被害が出た<タリーズコーヒー>の場合では、データ窃取が起きても被害に気付かず、5月に警察庁から犯罪のおそれありと指摘されてようやく認識したとある。
タリーズ、不正アクセスによる“個人情報漏洩の恐れ”公表し謝罪 会員情報9.2万件、クレカ情報5.2万件【全文】 | ORICON NEWS
データ漏洩(クレジットカード不正被害)の恐れがあると5月に公表したものの、誰がその対象者かについてはようやく今連絡をしている状態である。このような被害に遭った企業の関係者からは、
・何が起きているか分からなかった
・どこに、どう相談すればいいかも見えなかった
と赤裸々に告げられたことがある。一旦被害を受けると、経営者も対処について真剣に考えるのだが、多くの企業が「最初」はこんなものだろう。しかし年々サイバーリスクが増している状況であり、いかにECサイトは補助事業であっても、対処法を含めた覚悟や訓練をしておくことは経営者の責務だと考える。
ECサイト運営事業者は確かに被害者なのだが、あまりに脆いと「善管注意義務違反」に問われるようになるだろうから。