今治タオルなどを販売する（株）伊織は２４日、同社が運営する「伊織ネットショップ」で、外部からの不正アクセスにより、一部ユーザーのクレジットカード情報が流出した可能性があることを明らかにした。

ページ改ざん→フィッシングサイト遷移の事象を確認

　同社によると１８年８月２２日夕方、同社サイトからフィッシングサイト（偽のクレジットカード番号の入力画面）へ遷移する事象が確認され、同日「伊織ネットショップ」でのクレジットカード決済を停止したという。その後、第三者機関による調査により、１８年５月８日～８月２２日の期間中に「伊織ネットショップ」で購入したユーザーのクレジットカード情報が流出し、不正利用されたことが確認されている。

!nextpage!

　個人情報流出に至った原因について、同社は「伊織ネットショップ」のシステムの一部の脆弱性があったと説明。インシデント発生時のアクセスログから、８月１９日午後に、その脆弱性を突いた第三者による侵入と、ページの改ざんがあったとしている。

２４１５人のクレカ情報流出の疑い

　流出した可能性のある個人情報は、カード会員名／クレジットカード番号／有効期限／セキュリティコード。情報流出の可能性があるのは、８月１９日１６時１９分～８月２２日１８時３７分の間に「伊織ネットショップ」で注文をしたユーザーで、フィッシングサイトという特性上からも、カード情報が流出した可能性が非常に高くなっている。

　一方、７月３１日以前の利用については、６月１０日および７月３１日に保存したバックアップファイルに、改ざんの形跡が見られないことから、流出の可能性自体は低いものの、サーバーのアクセスログに５月８日の記録がすでに残っておらず、問題がないと断定できないことから、念のため５月８日以降の利用者にも注意を呼び掛けている。

　同社では、個人情報流出の可能性があるユーザー２１４５人に対し、電子メールで個別に報告。警察署には発生翌日の８月２３日に、個人情報保護委員会には、第三者機関による調査終了した１０月２３日にそれぞれ報告を行っている。

■伊織