システムの脆弱性をつかれペイメントアプリケーションが改ざん

　同社によると、所轄警察署の岡山県警サイバー対策課から2021年12月7日、「ベクトルパーク」から不正に情報が送信されている可能性があるとの連絡を受けた。社内で調査を実施し、不正のプログラムを発見して除去するとともに、さらなるリスクを鑑みて、同月29 日に「ベクトルパーク」でのカード決済を完全に停止した。

　その後、第三者調査機関による調査も開始し、22年6月28日に調査が完了。「ベクトルパーク」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われていた。

クレジットカード決済を停止、再開は未定

　これにより、20年4月27日～21年12月22日の間に「ベクトルパーク」で購入した顧客のクレジットカード情報が漏洩し、一部のカード情報が不正利用された可能性があることを確認した。個人情報漏洩の可能性があるのは、この間に「ベクトルパーク」でクレジットカード決済をした1万8136人で、情報はカード名義人名、クレジットカード番号、有効期限、セキュリティコード、ログオン ID、パスワード。

　該当者にはメールで連絡しているほか、クレジットカード会社と連携し、漏洩した可能性のあるカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めている。

　公表が遅れた経緯について同社は、決済代行会社と協議し、不確定情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからと判断。発表は調査会社の調査結果とカード会社との連携を待ってから行うことにしたという。

　監督官庁である個人情報保護委員会には7月11日に報告。所轄警察署には指摘を受けた翌日の21年12月8日に被害申告していた。同社は事態を厳粛に受け止め、システムのセキュリティ対策と監視体制の強化を行い、再発防止を図るとした上、改修後の「ベクトルパーク」のクレジットカード決済再開日につきましては、改めてWEBサイトで連絡するとしている。