「ワコムストア」で攻撃による情報漏えいが発生 1938件のクレカ情報と14万7545件の個人情報が外部に流出

[井上翔，ITmedia]

　ワコムは11月21日、直営の「ワコムストア」が第三者による不正アクセスを受け、個人情報が漏えいしたことを発表した。4月19日正午まで運用していた旧システムへの不正アクセスが原因で、漏えい対象となったユーザーには11月21日から順次、電子メールと書面で個別に連絡するという。

ワコムからの告知

事象の概要

　今回の情報漏えいは、8月19日付で一部のクレジットカードから「クレジットカード情報の漏洩懸念について連絡を受け」たことをきっかけに判明したという。この連絡を受けてワコムでは、8月22日付でワコムストアでの商品の販売とクレジットカードによる決済を一時的に取りやめた。その後、同社は8月30日付で第三者機関による本件に関する調査を依頼し、9月30日付で調査が完了したという。

　調査により、ワコムストアの旧システムの一部の脆弱（ぜいじゃく）性を突いて、第三者がペイメントアプリ（決済処理をするシステム）を改ざんしたことが判明した。同ストアのペイメントアプリは本来、カード情報を保存しないという。しかし、この改ざんによりカード情報などが外部に送信されるようになっていたとのことだ。

　具体的には、システムの改ざんにより、以下の情報が外部に送信されていた可能性がある。

クレジットカード情報の漏えい（最大1938件）

　2022年2月19日から同年4月19日の午前中（＝旧システムの運用終了）までの間に、ワコムストアにおいて商品の購入でクレジットカードを利用した　最大1938件について、以下の情報が外部に流出した可能性がある。

• クレジットカードの名義人
• クレジットカードの番号
• クレジットカードの有効期限
• クレジットカードのセキュリティコード（※1）
• メールアドレス

（※1）クレジットカードが手元にあることを確認するための3桁（一部ブランドは4桁）の数字

その他の情報漏えい（最大14万7545件）

　2021年2月22日から2022年4月19日の午前中までの間にワコムストアを利用したユーザーについても、以下の情報が漏えいした可能性がある。

• 注文時に入力が必須である事項（最大14万7545件）
  • 氏名
  • 郵便番号
  • 住所
  • 電話番号
  • メールアドレス
  • 性別
• ストア会員に登録する場合に必須の事項（最大10万565件）
  • 会員ID
  • 所持ポイント
  • メールマガジンの希望有無／形式
• ストア会員に登録する場合に任意登録の事項
  • 会社名(5534件)
  • 学校名（2992件）
  • FAX番号（2393件）
  • 生年月日（4万9510件）
  • 職業分類（4万9552件）

現在は新システムで運用中

　ワコムストアは4月19日の午後から新システムで運用されている。そのため、同日正午以降は情報漏えいが発生していないという。クレジットカードを使った決済は、現時点では「Amazon Pay」を介して提供されている（参考リンク）。

　今回の情報漏えいの影響を受けたユーザーには、先述の通りメールと書面で個別に連絡が行われる。念のために、心当たりのあるユーザーはクレジットカードの明細などを確認するようにしたい。

現在はクレジットカード決済を「Amazon Pay」経由で受け付けている