ソースネクストにて情報漏洩が発生
ソースネクストにて情報漏洩が発生しました。
ホームページによると、2022年11月15日~2023年1月17日の間にクレジットカード情報を登録した顧客の情報が流出した可能性があり、件数は個人情報が120,982件、クレジットカード情報が112,132件とのこと。
漏洩した可能性のある情報
クレジットカード情報
- カード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
個人情報
- 氏名
- メールアドレス
- 郵便番号(入力した場合)
- 住所(入力した場合)
- 電話番号(入力した場合)
対策について
すぐにカードの利用履歴を確認する
仮に、実際に情報が流出していたとしたら、クレジットカードの情報がすべて漏れているため、不正使用される危険性が高く、実際に不正使用されている例もあるとのことなので、すぐにカードの利用履歴を確認し、不正な取引がないことを確認する必要があります。
確定済みの決済を確認するだけでなく、未確定の決済であったり、カードを利用した際に速報のメールが届く場合は、それも確認するなど、できる限り最近の決済の情報まで確認して、不正に使用されていないことを確認する必要があります。
もし、不正に使用されていることが判明したら、すぐにカード会社に連絡をして、カードの停止や不正使用された際の補償の請求などをする必要があります。
クレジットカードを停止してから番号を変更する
クレジットカードで買い物をする際に必要な情報がすべて漏れているため、今の時点では不正使用されていなくても、いつ不正使用されるか分からないので、安全のためには、クレジットカードを停止し、番号を変更する必要があります。
インターネット回線や携帯電話、光熱費の支払いなど、月額料金の支払いにクレジットカードを設定している場合は、全て新しいカード番号に変更しないといけないので手間はかかりますが、不正使用されるリスクを抱えて使い続けるよりも、クレジットカードの番号を変更するのが安全です。
ソースネクスト側の問題点
自分が情報漏洩の対象者なのかわからない
ホームページの表記
ホームページの表記では、情報が漏えいした可能性のある人には「個別に」連絡すると書かれています。
実際に届いたメール
情報漏洩対象者に送られるメールは、私のところには届いていないと思っていましたが、後日、電話にて確認をした結果、これが対象者に送られたメールとのことでした。
一斉送信メールのように見える
実際に届いたメールでは、書き出しが「お客様各位」となっており、メールの宛先が顧客全員を指していますので、ホームページに書かれていた「個別に」送るメールとは別のものに見えます。そのため、先にホームページを見て、次にメールを見た場合、「情報漏洩の対象者」ではないと読み取れてしまいます。
ちなみに、宛先のメールアドレスは、私個人のアドレスになっていましたが、普段のメルマガも同様なので、一斉送信メールでも、宛先は受取人のメールアドレスになっています。
書き出しが「お客様各位」であり、内容が「お客様の(略)情報が漏えいした可能性が」とあるので、ソースネクストにて情報漏洩が発生したことを利用者全員に伝えるためのメールと読めてしまい、「あなたの情報が漏えいしました」とは伝わりません。
書き出しをお客様各位ではなく、「○○様」と受取人の名前を書けば一発で伝わるし、メールの本文に、「対象者にお送りしています」と書けばそれで伝わる。
余計な情報
また、漏洩した件数が○○件、どのような情報が流出して…と言う話になり、情報漏洩発生を伝えるメールにしか見えず、自分が対象だとは伝わりませんでした。
揚げ足取りのようになってしまいましたが、異常事態を伝えるメールは、短い言葉で確実に伝わるように書くべきと感じました。
短い文章で分かりやすく書かなければいけない理由
クレジットカード情報が漏えいしましたと言う内容のメールが届き、慌ててしまう人もいるでしょう。そんな人が、2500文字の長ったらしく、ただでさえ、わかりづらい文章を正確に認識するのは困難ではないでしょうか。
ソースネクストに電話で確認(2月15日追記)
メールの内容では、自分が情報漏洩の対象者なのかどうか、判断できませんでしたので、ソースネクストに電話で問い合わせました。
ソースネクストに電話をかけたのが11時30分頃。12分も待たされた後に、ようやく恐る恐る電話に出たオペレーターに「ホームページの内容と、メールの内容が一致しておらず、自分が対象なのかどうかわからない」と指摘し、12月26日に新しく登録したクレジットカードで買い物をしたことも伝えた結果、2月14日の15時にメールが届いた人は、情報漏洩の対象者とのこと。
結局、情報が流出した可能性が高いとのことでした。
ソースネクストとのメールのやり取りについて
ソースネクストとのメールのやり取りについて記載します。
全文を書き込むと長くなりますので、主要な部分のみ抜粋しています。
2/14 20:10 ソースネクストへ問い合わせ
一斉送信メールしか届いておらず、
私個人宛のメールは届いていないので、
対象外ということで良いですか?
2/15 13:27 ソースネクストより回答
対象者となるお客様宛に送付したメールの
送信元のメールアドレスと件名を以下に記載いたしますので、
大変お手数ですが、念のためご確認いただきますようお願いいたします。送信元メールアドレス:ソースネクスト <info@sourcenext.info>
件名:弊社サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
対象者かどうか教えてほしいという内容に対して、
差出人と件名を記載するから自分で確認しろという不親切な内容である。
2/15 14:56 ソースネクストへ返信
ホームページの書き方では、「被害者一人ひとりにメールを送ります」と解釈できる。
届いたメールは「お客様各位」から始まる、顧客全員宛にしか見えない。
これでは、自分は関係ないように見えてしまう。
メールとホームページの内容が合っていないので合わせるように。
2/16 12:59 ソースネクストより返信
確認いたしましたところ、お客様はこのたびの件につきましては、
対象ではございませんので、ご安心ください。
2/15 14:56に送信した内容に対する回答になっていないし、
対象者かどうか確認できるならば、最初のメールの回答として、この回答が欲しかったです。
最後に
念のため、情報漏洩の発表があった翌日の2月15日に、ソースネクストでの買い物に使用した「楽天銀行 デビットカード」を解約することで使えなくし、その後、再発行することで別の番号のカードを発行しました。
また、「わかりづらい」と指摘した件については、1か月経過した3月16日時点でも、何の変化も見られませんでした。
コメント