購入履歴など6万2575件のデータ漏洩の可能性も

　それに伴い、不正アクセスを行った第三者により、「トマトオンラインショップ」内のデータ管理画面が閲覧可能な状態であったことで、クレジットカード情報を含め、購入履歴などのデータ6万2575件が漏洩した可能性があることが併せて判明したという。

　同社によると、2022年11月24日に一部のクレジットカード会社から、サイトを利用した顧客のクレジットカード情報の漏洩懸念について連絡を受け、第三者調査機関による調査を開始し、同年12月26日に調査機関による調査が完了した。

　その結果、21年1月22日～22年10月3日の期間に「トマトオンラインショップ」で購入した顧客のクレジットカード情報が漏洩したことと併せ、不正アクセスを行った第三者においてサイト内のデータ管理画面が閲覧可能な状態だったことを確認した。

　システムの一部の脆弱性を突いたことによる第三者の不正アクセスで、不正ファイルの設置が行われたことが原因だった。「トマトオンラインショップ」は、22年9月24日からクレジットカード決済の受付を停止、リニューアル後の「日暮里トマトオンラインショップ」についても22年11月30日よりクレジットカード決済の受付を停止している。

警察署へ被害相談も

　個人情報漏洩の可能性があるのは、21年1月22日～22年10月3日の期間中に「トマトオンラインショップ」でクレジットカード決済をした1万4256人で、情報はカード名義人名、クレジットカード番号、有効期限、セキュリティコード。また、クレジットカード取引を含め、1度でも「トマトオンラインショップ」での会員登録、購入をしたことのある顧客6万2575人の情報は氏名、住所、生年月日、メールアドレス、電話番号、購入履歴だという。

　22年11月24日の漏洩懸念から公表に至るまで時間を要したことについては、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断。発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにしたとしている。

　同社は事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、再発防止を図っていくとし、改修後の「日暮里トマトオンラインショップ」の再開日は、決定次第、改めてWebサイト上で連絡するとしている。

　また、今回の不正アクセスについて、監督官庁である個人情報保護委員会には22年11月26日に報告。所轄警察署にも23年1月16日に被害相談をしているという。