「ソースネクスト」Webサイトで個人情報とクレジットカード情報の漏えいが発生 最大で約12万件が流出のおそれ：サブスクサービスとポケトークは対象外

[井上翔，ITmedia]

　ソースネクストは2月14日、同社のWebサイトが第三者による不正アクセスを受け、個人情報とクレジットカード情報が流出した恐れがある旨を発表した。流出した個人情報は最大で12万982件（うち最大11万2132件はクレジットカード情報を含む）となり、対象となった可能性のあるユーザーには、同日から順次電子メールによる個別連絡を開始している。

ソースネクストからの告知

事象の概要

　今回の情報漏えいは、2022年11月15日から2023年1月17日までの間にソースネクストのWebサイトで商品を購入したユーザーが対象となる。漏えいした恐れのある情報は以下の通りだ。なお、有料サブスクリプションの定期（継続）課金と、同社から分社した「ポケトーク」のWebサイトにおける商品購入は対象外なる。

• 全ユーザー
  • 氏名
  • メールアドレス（パスワードの流出はない）
  • 郵便番号（入力した場合）
  • 住所（入力した場合）
  • 電話番号（入力した場合）
• クレジットカードで決済した場合のみ（Amazon Pay経由を除く）
  • カードの名義人
  • カードの番号
  • カードの有効期限
  • セキュリティコード（カードが手元にあることを確認するための番号）

漏えいした恐れのある情報

　事象が発覚したのは、1月4日に一部のクレジットカード会社から通報があったことがきっかけだったという。これを受けて、ソースネクストでは翌日（1月5日）からクレジットカード決済の受付を停止した上で、第三者機関による調査を開始した。

　その結果、同社のWebサイトを構成するシステムの一部の脆弱（ぜいじゃく）性を突いて、第三者がペイメントアプリ（決済処理をするシステム）の改ざんしたことが判明した。説明によると、同社のペイメントアプリはカードに関する情報を保存しないようになっているが、改ざんによって保存されるようになっていたようだ。

　本件は1月6日付で個人情報保護委員会、1月13日付で総務省関東総合通信局に報告済みで、1月10日には所轄の警察署にも被害申告しているという。

クレジットカード決済の再開時期は未定

　ソースネクストから個別に連絡があった場合は、当該のクレジットカードについて利用明細を確認すると共に、必要に応じてカード会社に連絡し補償や再発行の相談をするようにしたい。

　カードの不正利用に対する補償やカードの再発行は、カード会社の会員規約に基づいて行われる。ただし、本件に関わる費用はソースネクストに請求するように依頼しているとのことだ。

　調査結果を踏まえ、同社ではシステムのセキュリティ対策と監視体制の強化を行い再発防止に努めるという。クレジットカードによる決済の再開日は未定で、決まり次第改めて告知される。

クレジットカードによる決済は、現在も停止している。「どうしてもカードで払いたい！」という場合はAmazon Payでの支払いを検討しよう