不正アクセスでペイメントアプリケーションが改ざん

　「GENTOS公式ストア」は、完全に分離独立したシステムで運営しているため、同社で運営している他のサイトは不正アクセスの対象にはなっていない。また、商品を取り扱う別のサイトと実店舗で購入した商品に関しても、分離したシステムで顧客情報を管理しているため、今回の不正アクセスによる漏えいの心配はないとしている。

　「GENTOS公式ストア」に関して、同社によると8月12日、一部のクレジットカード会社からサイトを利用した顧客のクレジットカード情報の漏えい懸念について連絡を受け、同日中にサイトでのカード決済を停止。同時に、第三者調査機関による調査も開始した。

　調査機関による調査は10月6日に完了。システムの一部の脆弱性をついた第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われていた。これにより、2020年9月25日～22年8月12日の期間に、サイトから購入した顧客のクレジットカード情報が漏えいし、一部の顧客のカード情報が不正利用された可能性と、会員登録（仮登録を含む）をした顧客の個人情報漏えいの可能性があることを確認した。

5471人でクレジットカード情報漏えいの可能性

　クレジットカード情報漏えいの可能性があるのは、この期間にクレジットカード決済をした5471人で、情報はカード名義人名、カード番号、有効期限、セキュリティコード。

　個人情報漏えいの可能性があるのは、20年4月1日～22年8月24日の期間中、サイトから商品を購入する際に会員登録をした5521人分で、情報は氏名、住所（郵便番号含む）、電話番号、メールアドレス、ログインパスワード、メールマガジン送付の可否。以下は任意入力事項だが、入力した場合はこれらを含む。生年月日、性別、職業、会社名、法人属性（法人・個人）、登録住所以外へ発送を希望する場合は発送先の氏名・住所・電話番号。

　8月12日の漏えい懸念から公表に至るまで時間を要したことについて同社は、決済代行会社とも協議し、不確定な情報の公開はいたずらに混乱を招き、迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠と判断。発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにしたという。

　同社は今回の事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、再発防止を図っていく考えだ。監督官庁の個人情報保護委員会には8月17日に報告。所轄警察署にも同月24日以降、被害相談などしているという。

　改修後の「GENTOS公式ストア」の再開日については、決定次第、改めてWebサイト上で連絡するとしている。