Malwarebytesは9月10日(米国時間)、「Payment provider data breach exposes credit card information of 1.7 million customers|Malwarebytes」において、決済プロバイダーの「Slim CD」からクレジットカード情報が漏洩したと報じた。同社のサービスを利用する企業(小売業者)への支払いに使用されたクレジットカード情報のすべてが漏洩した可能性がある。

  • Payment provider data breach exposes credit card information of 1.7 million customers|Malwarebytes

    Payment provider data breach exposes credit card information of 1.7 million customers|Malwarebytes

インシデントの概要

DocumentCloud.orgにアップロードされたインシデントの通知文書によると、Slim CDは20246月15日(米国時間)に社内環境における不審な活動を検出したという(参考:「Slim_CD - DocumentCloud」)。その後の調査にて、2023年8月17日から2024年6月15日までの約10カ月間、社内システムに不正アクセスされていたことが判明したが、クレジットカード情報およびその他の情報へのアクセスは6月14日から15日までの2日間だけと報告している。

漏洩した可能性のある情報は次のとおり。

  • 氏名
  • 住所
  • 有効期限を含むクレジットカード番号

セキュリティコードおよび認証番号の漏洩の有無は明らかにしていない。影響を受けたユーザーは合計169万3,000人とされ、全員に通知される予定となっている(参考:「Office of the Maine AG: Consumer Protection: Privacy, Identity Theft and Data Security Breaches」)。なお、Slim CDは現時点で漏洩した可能性のあるクレジットカード情報が悪用された証拠はないとしている。

影響と対策

影響を受けるクレジットカードの所有者は、小売店などが利用している決済プロバイダーを知らない場合が多い。そのため、Slim CDからの突然の通知に驚く可能性があると指摘されている。

Malwarebytesは通知を受け取った被害者および、被害に遭った可能性のあるカード所有者に対し、次のような措置の実施を推奨している。

  • Slim CDの通知を受け取った場合はその内容に従って行動する
  • オンラインショッピングにクレジットカードを使用、登録している場合は、アカウントのパスワードを一意で強力なものに変更する。また、可能であれば多要素認証(MFA: Multi-Factor Authentication)を有効にする
  • 詐欺に注意する。サイバー攻撃を実施した攻撃者および情報を購入した詐欺師は、Slim CDを装って連絡してくる可能性がある。連絡があった場合は別の連絡方法を使用してSlim CDに問い合わせ、内容の信憑性を確認する
  • フィッシング攻撃の標的になる可能性があることを理解する。緊急性を訴えるメールやメッセージを受け取った場合は、フィッシング攻撃を疑う
  • オンラインショッピングにクレジットカード情報を登録せず、毎回入力する
  • アイデンティティー監視サービスを利用する

通知を受け取った被害者は、上記以外にも不正使用を防止するためカード会社に連絡することが推奨されている。今回の事案ではセキュリティコードの流出有無が明らかになっておらず、不正使用の可能性を判断できないが、再発行により番号を変更することが不正使用防止に最も有効とされている。