駿河屋、ECサイトに不正アクセス クレカ情報を含む個人情報が漏えいか 8日よりカード決済停止

[ITmedia]

　駿河屋は8月8日、同社が運営するECサイト「駿河屋.JP」が第三者による不正アクセスを受け、クレジットカード情報を含む個人情報が漏洩したと発表した。被害件数は調査中としており、影響拡大防止のため同日よりクレジットカード決済を一時停止している。

　漏洩した可能性がある個人情報は、氏名、住所、郵便番号、電話番号、メールアドレス、領収書の宛名・但し書きなど。クレジットカード情報では、カード番号、セキュリティコード、有効期限、カード名義、カードブランドが含まれる。対象となる具体的な件数は調査中としており、新たな事実が判明次第、公式サイトにて報告するという。

　駿河屋によると、7月23日に不正アクセスを検知し、調査とモニタリングを開始。8月4日にECサイトのシステムの一部が第三者によって不正に改ざんされていることを確認した。これにより、ユーザーが入力した決済情報が外部に流出する状態になっていたという。同社は4日中にシステムの修正を完了させている。

　これは、一般的にWebスキミングなどと呼ばれている手法と考えられる。この手法では、ペイメントアプリケーションなどWebサイトのシステムを改ざんすることで、サーバーがクレジットカード情報を保持していなくても、Webサイト上で入力した情報を盗み取り、個人情報・カード情報を外部に送信できてしまう。

ECサイトのシステムが第三者によって不正に改ざんされ、Webサイト上で入力された個人情報・カード情報が外部に流出していたという

　同社は、すでに個人情報保護委員会への報告と静岡中央警察署へ相談しており、外部の専門調査機関によるフォレンジック調査を行うとしている。クレジットカード決済の再開日は未定で、身に覚えのない請求がある場合はカード会社への問い合わせを呼びかけている。

　今回の漏えいに関する問い合わせ専用窓口を準備中としており、窓口設置完了後、改めて公式サイトで案内予定。これに先んじて、問い合わせ専用メールアドレスも開設している。また、影響のあるユーザーには調査が完了次第、速やかに案内するとしている。

　カード決済停止期間中はPayPay、エポスかんたん決済、d払い、au PAY、代金引換、PayPal、Google Pay、ペイジー、銀行振込、現金書留での支払いを継続するという。マーケットプレイスではPayPayとd払いに限り決済に対応する。