約1.4万人分のクレカ番号・セキュリティコードなど漏えいか 約3.9万人分の個人情報も 大阪のスポーツ用品店

スポーツ用品店を展開する岸和田スポーツは、同社が運営する通販サイトが第三者による不正アクセスを受けたと発表した。2021年2月24日〜24年1月17日に同サイトで商品を購入した顧客の、クレジットカード情報1万3879件及び個人情報3万8664件が漏えいした可能性があるという。

[ITmedia]

　スポーツ用品店「KISHISPO」などを展開する岸和田スポーツ（大阪府岸和田市）は5月14日、同社が運営する「Kemari87KISHISPO公式通販サイト」が第三者による不正アクセスを受けたと発表した。2021年2月24日から24年1月17日までに、同サイトで商品を購入した顧客のクレジットカード情報1万3879件および、個人情報3万8664件が漏えいした可能性があるという。

「KISHISPO」Webサイトより

　漏えいした可能性があるクレジットカード情報は、期間中に同サイトでクレジットカード決済をした顧客のカード名義人名、クレジットカード番号、有効期限、セキュリティコード、メールアドレス、住所、電話番号など。個人情報は、期間中に同サイトで商品を購入した顧客の氏名、メールアドレス、住所、電話番号などが含まれる。どちらもメールアドレスのパスワードの漏えいはないという。

漏えいの可能性がある個人情報

　該当する利用者には5月14日から個別にメールで連絡する。同社は利用者に対して、クレジットカードの利用明細書を確認し、身に覚えのない請求がある場合はカード会社に問い合わせるよう呼び掛けている。利用者がクレジットカードの差し替えを希望する場合、再発行手数料を請求しないようにカード会社に依頼済みだという。

　不正アクセスの原因について同社は、ECサイトのシステムの一部の脆弱性を利用するために第三者が21年2月21日から24日にかけて不正注文を行い、注文データの参照を起点として不正なスクリプトが実行されたと考えられると説明している。

　情報漏えいの可能性が判明したのは24年2月6日。一部のカード会社からクレジットカード情報の漏えいを懸念する連絡を受け、ECサイトのカード決済を停止した。2月7日に個人情報保護委員会に、2月9日に大阪府警察本部サイバーセキュリティ対策課に報告した上で、2月14日から第三者調査機関による調査を開始。2月26日に調査が完了したという。

　公表が遅れた理由については「本来であれば疑いがある時点でお客さまにご連絡し、注意を喚起するとともにおわび申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客さまへのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、及びカード会社との連携を待ってから行うことにいたしました」と説明している。

　同社は、カード会社と連携して当該クレジットカードのモニタリングを実施し、不正利用の防止に努める他、システムのセキュリティ対策および監視体制を強化し、再発防止を図るとしている。

【追記：5月14日午後7時30分】不正アクセスの原因について追記しました。