카테고리
메이커
스타일
의류 소재
컬렉션
최근 액세스한 상품
인기 상품
「 당사 사이트에의 부정 액세스에 의한 신용 카드 정보 유출에 관한 사과와 소식 」에 대해서, 자주 있는 문의를 이하에 정리하겠습니다.
Q) 누설의 가능성이 있는 기간이 2020년 11월 27일부터 2020년 12월 9일이라는 것입니다만, 그 이외의 기간에 결제했습니다만 괜찮습니까?
A) 제3자 조사 기관에 의한 조사를 실시하고 있습니다. 상기 기간에 결제해 주신 195건의 신용카드 이외에 누설의 가능성은 없습니다. 안심하세요. 또한, 불명한 점이 있으시면 어쨌든 문의 창구까지 연락을 주시면 알고 있습니다. 또, 실제로 부정 사용이 있던 고객의 구입일을 분석한 결과, 12/2, 12/3, 12/4, 12/8, 12/9에 구입해 주신 고객에게 집중하고 있습니다.
Q) 앞으로 안심하고 이용할 수 있습니까?
A) 이번 사태를 엄숙하게 받아들여 제3자 조사기관의 지시에 의한 보안 향상을 위한 필요한 조치를 모두 실시했습니다. 앞으로도 계속해서 보안 향상에 노력해 고객으로부터의 신뢰 회복에 전력을 다해 나가고 싶다고 생각합니다.
Q) 부정사용에 대한 대응, 카드 재발행, 변경 절차 등에 많은 시간이 걸렸습니다. 어떤 보상이 없습니까?
A) 본문에서 설명하고 있듯이, 모든 부정사용·카드 교체 비용에 관해서는 당사에서 부담하겠습니다만, 고객에게 수고를 걸고 있는 것에 관해서, 깊이 roll 생략하고 거듭해서 사과드립니다. 향후 취해 드리는 대책·대응에 대해서는 수시로 연락을 드리고 싶습니다.
Q) 초기 발견이 2020년의 12/9로, 공표가 2021년의 3/29. 왜 이렇게 발표가 늦었습니까?
A) 일각도 빠른 고객에게 연락을 목표로 신용 카드 회사나 조사 회사와 주야를 불문하고 교환을 실시해 왔습니다만, 연락이 이러한 시기가 되어 버린 것, 대단히 죄송합니다 . 신용 카드 회사와 협의해 왔습니다만, 불필요한 혼란을 피하기 위해, 연락을 하지 못하고 있었습니다. 제3자 조사 기관의 조사 완료, 카드 회사 각사의 확인을 기다리고, 드디어 고객에게 알려 드릴 수 있게 되었습니다.
Q) 지금까지 실시한 시큐리티 향상 대책을 가르쳐 주세요.
A) 향후 두 번과 같은 사건을 일으키지 않기 위해서, 이하의 시책을 실시했습니다.
・파일 업로드 기능의 취약성을 즉시 수정함과 동시에 SELinux의 유효화를 실시해, 변조 방지에 관한 보안을 향상시켰습니다. (2020년 12월)
· 서버 환경을 최신 OS / 미들웨어로 구성된 보안 퍼블릭 클라우드 환경으로 마이그레이션했습니다. (2020년 12월)
・고기능인 방화벽(WAF)을 도입해, 부정한 액세스・공격을 차단하는 대책을 실시했습니다. (2021년 1월)
・서버 환경, 관리 툴에 2단계 인증을 도입했습니다. (2021년 2월)
· 서버에 안티 바이러스 소프트웨어를 도입하여 정기적으로 바이러스 체크무늬 실시하고 있습니다. (2021년 2월)
・크리티컬한 OS/미들웨어 레벨의 패치의 정기적인 적용을 실시하고 있습니다. (2021년 3월)
・파일 변조 검지를 실시하는 FIM(File Integrity Monitoring) 솔루션을 도입했습니다. (2021년 4월)
·이 외에도 다양한 보안 향상 조치를 실시했습니다.
Q) 향후 실시할 예정인 보안 향상 대책을 가르쳐 주세요.
A) 제3자 조사기관 및 시큐리티 전문회사의 지도의 원, 이하의 시책을 실시 예정입니다.
・보안 전문 회사에 의한 정기적인 보안 진단의 실시.
・내부 취약성 평가의 정기적인 실시.
・SIEM(Security Information and Event Management)의 활용에 의한 로그의 장기간에 걸친 보관.
Q) 신용 카드 정보 (카드 번호, 만료일, 보안 코드)를 서버에 저장 했습니까?
A) 아니. Stripe사가 제공하는 PCI-DSS 준거의 비통과형(JavaScript형)의 결제 서비스를 이용하고 있어, 당사 서버에는 일절 고객의 신용카드 정보는 보존되어 있지 않았습니다. 이번 공격은 결제 페이지를 변조함으로써 본래의 신용카드 입력 폼의 위치와 닮은 유사한 입력 폼을 배치하고, 결제 단추 이 눌려진 타이밍에 입력된 정보가 공격자의 사이트 에 전송되는 구조가 되었습니다.
Q) 신용카드 정보가 유출될 수 있다는 것은 무엇을 의미합니까? 누출되지 않았을 가능성이 있습니까?
A) 실제로 공격자의 사이트로 전송된 정보를 확인할 수 있었던 것이 아니고, 공격 파일이 서버에 존재한 기간에 결제가 행해진 모든 카드에 대해서 「가능할 수 있다」로서 수속을 진행하고 있어 합니다. 따라서, 이 기간에 결제된 고객도 실제로는 누설되어 있지 않을 가능성이 있습니다. 실제로 부정 사용이 있던 고객의 구입일을 분석한 결과, 12/2, 12/3, 12/4, 12/8, 12/9에 구입하신 고객에게 집중하고 있습니다. 그 이외의 기간은 가짜 폼을 취하하고 있었을 가능성이 있습니다(※이것은 실제로 당사에서도 확인하고 있었습니다).
Q) 부정이용이 있었을 경우, 어떻게 변제됩니까? 또한 카드 교체에 비용이 발생합니까?
A) 이번 인시던트와 관련하여 발생한 모든 비용은 고객에게 부담하지 않습니다. 보고의 본문에 있듯이, 신용 카드의 이용 명세서를 확인해 주시고, 부정한 이용이 있는 경우는 신용 카드 회사까지 연락의 정도를 반드시 부탁드리겠습니다.
Q) 앞으로도 ApparelX 는 서비스를 계속합니까?
A) 이번 사태를 엄숙하게 받아들여 제3자 조사기관의 지시에 의한 보안 향상을 위한 필요한 조치를 모두 실시했습니다. 앞으로도 계속해서 보안 향상에 노력해 고객으로부터의 신뢰 회복에 전력을 다해 나가고 싶다고 생각합니다.
Q) ApparelX 에서 탈퇴하여 모든 정보를 삭제하고 싶습니다.
A) 내 계정의 계정 삭제 에서 계정 정보를 삭제하십시오. 당사 사이트에 저장된 모든 정보가 삭제됩니다.
Q) 신용카드 결제 접수는 언제 재개합니까?
A) 현재 결제대행회사와 협의를 하고 있습니다. 재개시에는 사이트상에서 발표를 하겠습니다. (4/28추기) 카드회사 각사님으로부터의 승인을 거쳐, 2021/4/28에 신용카드 결제를 재개했습니다.
