セキュリティコードも漏えいの可能性、イクスピアリのECサイトでカード情報流出か

東京ディズニーリゾート内の商業施設「イクスピアリ」を運営するイクスピアリは12月1日、映画チケットなどを販売するサイト「シネマイクスピアリ」が不正アクセスを受け、クレジットカード番号など個人情報が最大で2432人分が流出した可能性があると発表した。

オンラインチケット購入システム「Myシート・リザーブ」と会員カードの会員専用ページを利用した顧客情報。チケット購入者は1414人、会員登録者1120人が対象で、重複102人分を加味すると2432人分の情報が外部に流出した可能性がある。

2015年10月17日～10月30日、会員登録者は10月17日～11月4日の期間にチケット購入、もしくは個人情報を登録した顧客情報が対象。

チケット購入者では、カード番号、有効期限のほか、セキュリティーコードも外部に漏れた可能性がある。

「Myシート・リザーブ」は2015年10月6日に稼働を開始。システムインテグレーターの都築電機が開発・システムの保守を担当していた。

イクスピアリによると、10月30日に契約先のカード代行会社からカード情報の漏えい懸念について連絡があり、都築電機に確認。同日に「Myシート・リザーブ」の決済サービスを停止した。

11月6日に第三者調査機関Payment Card Forensics（PCF社）にも調査を依頼、11月24日に漏えいの事実が確認された。

イクスピアリでは漏えいした可能性のあるカード番号について各カード会社と共有し、モニタリングなどを実施するとしている。