決済アプリケーションが改ざん、一部のクレカで不正利用も

　同社によると、1月4日に一部のクレジットカード会社から、同社のWEBサイトを利用した顧客のクレジットカード情報の漏えい懸念について連絡を受け、翌5日にサイトでのカード決済を停止した。同時に、第三者調査機関による調査も開始した。

　調査機関の調査は1月23日に完了。サイトのシステムの一部の脆弱性をついた第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれていた。これにより、2022年11月15日～23年1月17日にサイトで購入した顧客のクレジットカード情報と個人情報が漏えいし、一部のクレジットカード情報が不正利用された可能性があることを確認した。

セキュリティコードを含むクレカ情報11万2132人が対象

　対象は同じ期間にサイトでクレジットカード情報を登録した顧客11万2132人で、漏えいの可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

　また、個人情報漏えいの可能性がある顧客は、同じ期間中にサイトから購入した12万982人で、漏えいした可能性のある情報は、氏名、メールアドレス（パスワードの漏えいはない）、郵便番号（任意入力項目）、住所（同）、電話番号（同）。

　1月4日の漏えい懸念から発表まで時間を要したことについては、不確定な情報の公開はいたずらに混乱を招き、迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠と判断。発表は調査会社の調査結果とカード会社との連携を待ってから行うことにしたという。

セキュリティ対策、監視体制を強化

　同社は事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を図っており、改修後のサイトのクレジットカード決済再開日については、決定次第、改めてWebサイト上でお知らせするとしている。

　また、同社は今回の不正アクセスについて、監督官庁である個人情報保護委員会には1月6日に、総務省関東総合通信局には1月13日に報告済みで、所轄警察署にも1月10日に被害申告をしており、捜査にも全面的に協力していく考えを示している。