脆弱性をついた不正アクセスで決済ページを不正改ざん

　同社によると、7月15日に一部のクレジットカード会社から、サイトを利用した顧客のクレジットカード情報の漏洩懸念について連絡を受けた。同日中に、「CASUCAオンラインショップ」でのカード決済を停止するとともに、第三者調査機関による調査を開始した。

　調査機関による調査は8月15日に完了し、その結果、システムの一部の脆弱性をついたことによる不正アクセスで、ペイメントアプリケーションの改ざんが行われたことが判明。2021年6月8日～21年10月31日の期間に オンラインショップで購入した顧客のクレジットカード情報が漏洩し、一部のカード情報が不正利用された可能性があることを確認した。

　この期間にクレジットカード決済をしたのは317人に上り。漏洩した可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。該当者には別途、電子メールおよび書状で個別に連絡しているという。

顧客ゼロの状態から再スタートへ

　漏洩懸念から公表までに時間を要したことについて同社は、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断。発表は調査会社の調査結果とカード会社との連携を待って行うことにしたという。なお、監督官庁である個人情報保護委員会には7月26日に報告。所轄警察署にも8月24日に被害を申告しており、今後、捜査にも全面的に協力するとしている。

　同社は事態を厳粛に受け止め、調査結果を踏まえて現在、これまでとは別のセキュリティ対策が取られているショッピングカートサイトと契約。新しいECサイトの構築を模索している。さらに、新サイトでは、これまでのECサイトで培われた顧客リストは一切使用せず、顧客ゼロの状態から再スタートする考えという。

　改修後の「CASUCAオンラインショップ」の再開日については、決定次第、改めてWebサイト上で案内するとしている。