全漁連のECサイト「ギョギョいち」への不正アクセスでクレカ情報約1万2000件漏えいの可能性

[ITmedia]

　全国漁業協同組合連合会（全漁連）は8月19日、通販サイト「JFおさかなマルシェ ギョギョいち」が不正アクセスを受け、利用者の個人情報2万1728件が漏えいした可能性があると発表した。これにはクレジットカード情報1万1844件が含まれる。

全漁連の発表資料（一部）

　流出した可能性のある個人情報は、2021年4月22日から24年5月14日までにギョギョいちで商品を購入した人の氏名、性別、生年月日、メールアドレス、郵便番号、住所、電話番号。さらにクレジットカードで決済した人のクレジットカード番号、有効期限、セキュリティコード。

　5月14日にサイトの個人情報の漏えい懸念があると警視庁から連絡を受け、サイトを閉鎖。その後の調査で、個人情報が漏えいした可能性があると分かった。

　原因は、サイト構築サービスにおけるクロスサイトスクリプティングの脆弱性を突いた第三者による不正アクセスにより、不正ファイルが設置され、ペイメントアプリケーションが改ざんされたことだった。

　全漁連は5月17日に不正アクセスに関する第一報を出したが、個人情報漏えいの可能性については調査結果やカード会社との連携を待っていた。クレジットカード情報が漏えいした可能性のある利用者に対しては19日から個別に電子メールで連絡する他、クレジットカード会社と連携して取引のモニタリングを実施中。利用者に対しては、身に覚えのない請求項目がないか確認を求めている。

　全漁連は利用者に謝罪。また警視庁には5月14日に被害申告しており、捜査に全面的に協力していくとしている。

ギョギョいち閉鎖中、取り扱っていた商品はJA全農が運営する「JAタウン」内の「JFおさかなマルシェ ギョギョいち JAタウン店」で販売している