森永乳業は2018年5月9日、同社の通販サイト会員の情報が漏洩した可能性があると公表した。だが、被害人数が報道によって2万3000人だったり、12万人だったりと大きく異なる。また、漏洩した可能性のある情報はセキュリティコードを含むカード情報としているが、会員のメールアドレスやパスワード、住所、電話番号などが含まれているかどうかを明らかにしていない。
同社は、クレジットカード会社から不正利用の被害が発生していると4月24日に指摘を受けて事態を把握していた。そこから既に2週間が経過しているのに、どうしてもっと正確な情報が出てこないのか。
被害人数の2万3000人は森永乳業による推測
森永乳業は、クレジットカード会社から指摘を受けた4月24日にセキュリティ会社に調査を依頼。最終結果は5月末日までに報告されることになっているが、「公表した5月9日時点では、被害の範囲や漏洩経路に関する中間報告を受けていない」(広報)という。
ではどのように被害人数や漏洩情報を特定したのか。同社は、不正利用を指摘した複数のクレジットカード会社の情報からこれらを推測したとしている。
具体的には、不正利用された会員が森永乳業の通販サイトで買い物をした日時のリストをクレジットカード会社に提出してもらったという。このリストから、最も古い購入履歴が2017年1月10日とわかった。そこで、同日から事態を把握した2018年4月24日までにクレジットカードで決済した2万3000人を絞り込んだとしている。
このため、この期間外に通販サイトを利用した会員にも被害が発生している可能性がある。なお一部の報道にあった12万人は、通販サイトを過去に利用したことがある会員すべての数だ。「電話によるカード決済以外の方法で注文した人など、カード情報が漏洩した可能性のない人も含まれる」(広報)という。
決済代行サービスを利用
森永乳業は、漏洩した可能性がある情報について、クレジットカード会社の指摘から、セキュリティコードを含むカード情報とした。メールアドレスやパスワード、住所、電話番号などが含まれているかどうかはわかっていない。
では、どこから漏洩したのか。森永乳業の通販サイトを構築したエスキュービズムは、「どこから漏洩したかわからない。森永乳業からの正式な発表を待っている」という。ただし、「カード決済機能の構築に関わっていない。決済代行サービスを利用しており、サービスとはトークンをやり取りするようになっている」と状況を説明する。
