駿河屋、カード情報3万件超が漏えいか 8月公表の不正アクセスで

[ITmedia]

　駿河屋は12月4日、8月に公表したECサイト「駿河屋.JP」の不正アクセス被害により、3万件超のクレジットカード情報が漏えいした可能性があると明らかにした。監視ツールの脆弱性を突いた不正アクセスを受け、決済ページ用のJavaScriptが改ざんされたことが分かったという。

（「駿河屋.JP」より、以下同）

　同社によると、漏えいの可能性があるのは、7月23日午後0時50分から8月8日の間に「駿河屋.JP」でクレジットカード決済を行った2万9932人分の個人情報と、3万431件のカード情報。個人情報には、氏名、住所、郵便番号、電話番号、メールアドレス、領収書の宛名・但し書きが、カード情報には名義、カード番号、有効期限、セキュリティコード、カードブランドが含まれる。

漏えいの可能性がある情報など

　8月4日に外部からの指摘を受けて社内調査を行い、JavaScriptの改ざんを検知。同日中に修正を終えた。8日には、個人情報保護委員会への報告と警察への相談を実施し、クレジットカードの決済機能を停止。漏えいの可能性を公表し、対象者への個別連絡を進めていた。

　その後、外部専門家によるフォレンジック調査を開始し、10月10日に完了。対象サーバへの侵入時刻と、漏えいの可能性がある期間を特定した。現時点では、決済ページ以外からの個人情報流出は確認されていないという。

　同社は今回の調査結果を受け、追加で連絡が必要な利用者にも対応を進める方針。また、カード会社・決済代行会社と連携した不正利用の監視に加え、改ざん検知の強化、アクセス制御や多層防御の導入、第三者診断の定期実施など、技術・運用両面での再発防止策を進めているとした。

　利用者には、クレジットカードの利用明細に不審な請求がないか確認し、不審な動きがあればカード会社に速やかに連絡するよう呼びかけている。アカウント保護の観点から、パスワードの変更や2段階認証の有効化も求めている。カードの再発行を希望する場合は、手数料が利用者にかからないよう各カード会社に依頼済みという。

　調査結果の発表まで時間を要した理由については、「再発防止策の実効性を最優先とし、10月10日の調査完了後も関係各社との調整を重ねたため」としている。

　クレジットカード決済の再開時期は未定で、対応が完了次第、Webサイト上で案内する。問い合わせは土日祝日も含む午前10時から午後5時まで、電話（0120-596-309）またはメール（info2025@suruga-ya.co.jp）で受け付けている。

よくある問い合わせもまとめている