ソースネクスト社による顧客情報漏えいについて

2023年2月18日

2023年2月14日に、ZERO スーパーセキュリティやZERO ウイルスセキュリティ等のセキュリティソフトの販売で知られるソースネクストで、大規模な顧客情報流出インシデントが報告されました。

内容は、同社のサイトが第三者による不正アクセスを受け、顧客のクレジットカード情報112,132件および個人情報120,982件が漏えいした可能性がある、というものです。

今回の情報流出被害の対象となる人はソースネクストのサイトで購入した人に加えて、購入を途中で中断した人も含まれることから、セキュリティソフトの購入前に訪問される方が多い当サイトの特性を鑑みて、こちらに簡単に情報をまとめておきます。

ソースネクスト社から情報が漏えいした可能性のある方

2022年11月15日～2023年1月17日の期間にソースネクスト社の公式サイト（www.sourcenext.com）で商品を購入した人。また、同期間中に、ソースネクスト社のサイトでクレジットカードの登録・変更作業をした方。

対象期間中に購入した120,982人については、以下の顧客情報が流出した可能性があります。

さらに、そのうちクレジットカードで購入した112,132人については、以下の情報も漏洩した可能性があるということです（※注文の途中で別の決済手段へ変更したり、キャンセルした場合なども対象）。

2023年1月4日にクレジットカード会社からソースネクスト社に対して情報漏洩の可能性について指摘があり、翌1月5日にクレジットカード決済を停止し、外部協力のもと調査を開始したそうです。

不正プログラムを特定、削除を完了したのは1月17日で、同日まで情報流出が生じていたことになります。

また、すでに実際に一部の顧客のクレジットカード情報が不正利用された可能性があることが確認されています。

今回、個人情報流出被害としてはめずらしく、クレジットカードの裏面に記載されているセキュリティコード（CVV/CVC）まで流出しています。

通常、企業がセキュリティコードを保存することはないので、今回はソースネクスト社に保存されていたデータが流出したのではなく、同社のオンラインストアの注文ページがフォームジャッキングのような方法で悪意ある第三者に改ざんされて、リアルタイムで個人情報が引き抜かれていたのだと思われます。

※ソースネクスト社が用意したQ&Aページにも、以下のような記載がありました。

当社ではお客様のクレジットカード情報は一切保有しておりません。本件では悪意のある第三者によりweb サーバ上に不正なコードが追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました。
クレジットカード情報漏えいに関するご質問とご回答（ソースネクスト社）

カード名義人、カード番号、有効期限、セキュリティコードが揃って流出したということは、入手した悪意ある第三者がそれらを正規のクレジットカード情報として容易に利用できることになります。

VisaやJCBなどの国際ブランドのクレジットカードでよく利用される「3Dセキュア」のパスワードは漏洩していないようですが、3Dセキュアが実装されていないサイトで不正利用される可能性は依然としてあります。

また、クレジットカードの入力を一度完了していると、「購入の途中で注文を中断された方や、購入後、ご注文のキャンセルをされた方」であっても漏えいの対象となるということですので、注意が必要です。

対象期間に同サイトで購入した人は、当分の間は自分のクレジットカードの利用明細書を確認し、身に覚えのない請求項目がないかしっかりチェックするようにしましょう。もし、身に覚えのない請求が行われていた場合は、すぐにクレジットカード会社に連絡してください。

また、より確実にクレジットカードの不正利用被害を防ぐためには、被害の対象になったクレジットカードを破棄して新しいクレジットカードを作り直すべきでしょう。

≪ソースネクスト　お客様相談窓口≫