決済プログラムが偽のカード会員情報入力画面に改ざん

　同社によると、5月6日にクレジットカード決済代行会社から、サイトを利用したクレジットカードの不正利用に関する報告を受け、同日内にサイトを閉鎖した。その後、全容解明と被害状況の把握に向けて社内調査を進めるとともに、第三者の専門調査会社による調査を実施。6月10日に調査完了の報告を受け、クレジットカード決済代行会社と協議の上、クレジットカード情報の流出の可能性があると判断した。

　同社が運営するサイトのシステムの一部脆弱性を突いた不正アクセスによって、決済処理プログラムが改ざんされ、偽のカード会員情報入力画面が埋め込まれていた。また、顧客情報を収集しているデータベースにも不正アクセスされていた可能性があるが、これまでにクレジットカード情報以外のデータを取得された記録は確認されていない。

カード情報やセキュリティコード情報も流出

　個人情報が流出した可能性があるのは、2月15日～3月19日の間に、クレジットカード決済を利用した顧客1779人分のカード情報。決済画面で入力した会員の氏名、カード番号、有効期限、セキュリティコード。該当者にはメールで経緯説明とお詫びの連絡を開始している。

　警察への被害申告は6月24日、個人情報保護委員会へは7月6日に報告した。流出懸念の報告を受けてから、公表に至るまで時間を要したことについて同社は、カード決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断。発表は第三者機関の調査結果、カード会社との連携を待ってから行うことにしたという。

　同社は事態を厳粛に受け止め、個人情報保護の重要性を周知徹底し、システムの構築とサイトのセキュリティ、監視体制の強化を行い、再発防止を図っていく方針だ。また、サイトの再開については、決定次第、改めてWebサイト上で連絡するとしている。