セキュリティ専門の第三者機関による調査がすべて完了

　同社によると、2月21日に外部からの不正アクセスで、一部顧客の個人情報が引き出されている可能性があることを認識。ただちに、特定のIPアドレス群からの通信を遮断・セキュリティ強化の対策をとった。対象者らには発覚直後と4月に公表している。4月から実施していたセキュリティ専門の第三者機関による調査が、このほどすべて完了したという。

　それによると、これまでに流失を確認した個人情報は、2021年4月10日～22年2月21日に商品を発送した顧客のメールアドレス／16年12月28日～18年9月4日の期間に送信した一部の発送完了メールに記載の氏名・住所・電話番号かつ注文者のメールアドレス。

偽のフィッシングサイトへ誘導するメールを確認

　新たに分かった流出情報は、15年10月10日～16年4月2日の期間の注文完了メールのメール本文／16年4月11日～17年1月23日の期間にお問い合わせフォームおよびメールに送信した顧客のメールアドレス・メール本文・メール件名／16年11月14日にWEBサイトを利用した一部の顧客のメールアドレス・メール本文／17年4月～5月に実施したアンケートの対象顧客に送信したメールアドレス・メール本文。すべてで3万6173件になったという。

　同社によると、今回不正に引き出された情報はメールに付随する情報のため、WEBサイトにログインするためのパスワードやクレジットカード情報、入稿データなどの流出はない。また、調査の結果、不審なログインやマルウェアの設置はなかった。

　また、報告を受けたフィッシング詐欺メールの具体例として、「au簡単決済」「メルカリ」「Amazon」「えきねっと」「JCB」「UCS」をかたり、偽サイト(フィッシングサイト)へ誘導するメールを挙げ、注意を促している。同社は今後、セキュリティ専門企業に定期的なセキュリティ診断を実施していく考えを示している。