不正アクセスにより偽のクレカフォームも

　把握したのは３月で、直後にクレジットカード決済を停止してフォレンジック調査をしていたが、５月になって、サイトから転送されたとみられる偽のクレジットカード情報入力画面を発見。以来、ショップそのものを閉鎖していた。こうしたこともあって、公式の発表は案件の把握から半年経った９月１９日。同２１日に「新たなカートシステムを用いた販売サイトへ移行した」としてショップを再開した。

　同社は、顧客への謝罪と再発防止策の徹底を表明するとともに、情報流出の手段などについては、調査会社から報告を受けているとした上で、警察からの指導や類似被害の拡大防止の観点から公表できないとした。

３つのパターンで情報流出、期間は１４年１２月から１９年５月

　判明した情報流出の期間と内容は、２０１８年８月７日～１９年３月２７日のクレジットカード情報【ケース１】、１４年１２月１２日～１９年５月２０日の個人情報（会員情報、購入履歴など）【ケース２】、１９年５月１４日～同２０日のクレジットカード情報（偽の入力画面が出現）【ケース３】。

　【ケース１】　期間内にクレジットカード決済を利用した、最大１万１９１３件。流出の可能性がある情報は、会員名、カード番号、有効期限、セキュリティコード番号。

　【ケース２】　期間中の会員登録者、ｗｅｂショップでの購入者、ｗｅｂショップからギフト商品が届いた顧客、さらに２店の直営店舗（実店舗）での会員登録者で、最大１０万８１３１件。流出の可能性がある情報は、名前や住所、電話（ＦＡＸ）番号、性別、職業、生年月日などとともに、メールアドレスや会員ＩＤ、注文履歴、登録店舗など。

　【ケース３】　偽の決済ページに、クレジットカード情報を入力した最大３０件。流出した可能性がある情報は【ケース１】と同じ。クレジットカード決済を止めた状態のショップで商品を購入しようとしている最中に異常が起きた。ウェブサイトの改ざんで偽の入力画面が現れ、情報入力後に画面は消え、決済は完了せずにカートは空になった。

　すでにショップを再開している同社は、プラットフォームやシステムの変更を含め、ウェブショップのセキュリティ強化に万全を期すとともに、今後も関連機関と協力しながらの調査、対応を改めて表明。２０２０年３月をめどに、情報セキュリティ認証企画のひとつ「ＩＳＯ２７００１（ＩＳＭＳ認証）」を取得し、セキュリティ規定の策定や従業員教育を徹底するとしている。

▽関連記事

https://www.tsuhannews.jp/71995

https://www.tsuhannews.jp/70486

https://www.tsuhannews.jp/70463

https://www.tsuhannews.jp/67838

https://www.tsuhannews.jp/67213

https://www.tsuhannews.jp/70157

https://www.tsuhannews.jp/60581