千趣会子会社に不正アクセス、乳児を含む個人情報が流出か

ベルネージュダイレクトが運営する出産内祝いギフトサイトに不正アクセスがあり、顧客情報やクレジットカード情報などが漏えいした可能性がある。

[ITmedia]

不正アクセスを受けたWebサイトでの説明（ベルネージュダイレクト）

　千趣会と同社子会社のベルネージュダイレクトは9月15日、ベルネージュダイレクトが運営する旧出産内祝いギフトサイトに不正アクセスがあり、顧客情報が漏えいした可能性があると発表した。想定漏えい規模は13万1096件で、同日時点のクレジットカード情報の悪用は確認されていないという。

　2社によると、不正アクセスがあったのは「ベビパラハッピーギフト」「Pre-moギフト」「TOMATOMAギフト」「ベビパラギフト」の旧サイト。2012年9月20日から2015年8月26日までに各サイトで登録、注文した顧客が対象となる。漏えいした可能性のある情報は以下の通り。

• 顧客の名前（漢字およびフリガナ）、郵便番号、住所、電話番号
• メールアドレス
• パスワード
• クレジットカード情報（カード会員名、住所、カード番号、有効期限）
• 連名の名前（漢字およびフリガナ）
• 子どもの性別・生年月日・名前（漢字およびフリガナ）・体重
• 商品届け先の名前（漢字およびフリガナ）、郵便番号、住所、電話番号

　漏えいした可能性のある13万1096件の情報のうち、サイト会員に関するものは2万1994件（クレジットカード情報を含むものは1万3713件）、ギフト送り先に関するものは11万564件。13万1096件に重複するギフト送り先に関する情報は含んでいない。

　ベルネージュダイレクトは、2014年9月から同社で運営する「ベルネージュダイレクト ギフトオンラインショップ」が別システムで稼働しており、今回の不正アクセスの影響は受けていないと説明する。

　不正アクセスは旧サイトの再委託先で8月21日に確認され、再委託先が第三者調査機関のPayment Card Forensicsに調査を依頼した。同月31日までに脆弱性対策を実施したほか、Payment Card Forensicsから情報漏えいの可能性があると指摘を受けて、9月3日に4サイトを閉鎖した。7日以降、漏えいの可能性がある顧客にメールで連絡し、関係機関と調整して15日に不正アクセスの事実を公表したとしている。

顧客への説明（同）

　ベルネージュダイレクトでは8月31日からクレジットカード会社に不正使用などの監視強化を依頼しており、9月15日時点で被害報告はないという。2社では16日以降、対象顧客に郵送でも説明するとしている。