化粧品メーカーのACRO(東京都品川区)は2月24日、化粧品ブランド「THREE」(スリー)と「Amplitude」(アンプリチュード)の公式オンラインショップが第三者による不正アクセスを受け、合わせて10万3935件のクレジットカード情報が漏えいした可能性があると発表した。
内訳はスリーで最大8万9295件、アンプリチュードで最大1万4640件。2020年5月21日から2021年8月18日の間に両サイトで商品を購入し、クレジットカード決済を行った顧客の情報が流出した可能性がある。
外部からシステムの脆弱性を突いた不正アクセスを受け、ペイメントアプリケーションが改ざんされた。第三者機関による調査では両サイトの会員ID/パスワードが漏えいした可能性があること、個人情報を格納していたサーバが不正アクセスを受けていたことを確認している。ただしカード情報の漏えいを「明確に示す証跡は確認していない」としている。
ACROによると不正アクセスの可能性に気付いたのは21年8月20日。その日のうちに決済機能を停止し、調査機関に調査を依頼した。後日、個人情報保護委員会や所轄の警察署への被害報告を行い、クレジットカード会社と連携して今回の発表に至ったという。
発表までに時間がかかった理由は、決済代行会社との協議で「不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠」と説明を受けたため。「発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました」と説明している。
ACROは24日から該当する顧客に電子メールで連絡をとり「身に覚えのない請求項目があった場合はクレジットカード会社に問い合わせてほしい」と呼びかけている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR