和菓子販売のECサイトに不正アクセス、カード情報1.4万件が漏えいの可能性
和菓子販売の宗家 源吉兆庵は、ECサイト「宗家源吉兆庵オンラインショップ」が第三者による不正アクセス攻撃を受け、クレジットカード情報1万4127件が漏洩した可能性があると公表した。
システムの一部脆弱(ぜいじゃく)性を突いた不正アクセスにより、ペイメントアプリケーションが改ざんされたという。
クレジットカード情報が漏えいした可能性があるのは、2021年2月4日~2022年1月31日の期間中に「宗家源吉兆庵オンラインショップ」にてクレジットカード決済をした消費者。クレジットカード番号、有効期限、セキュリティコード、カード名義人名が漏れた可能性がある。
宗家 源吉兆庵はクレジットカード会社と連し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施、不正利用の防止に努めるとしている。
昨今、ペイメントアプリケーションを改ざんする不正アクセスが増加傾向にある。宗家 源吉兆庵は「セキュリティ対策に尽力しており、緊急または重大な脆弱性を認めるか所はないと認識していた。今回の件を受け、一部システムに脆弱(ぜいじゃく)性があったことが判明し、深く反省している」と説明している。
2022年3月7日、一部のクレジットカード会社からECサイトを利用した消費者のクレジットカード情報の漏えい懸念について連絡があり、外部からのアクセスを遮断。「宗家源吉兆庵オンラインショップ」でのカード決済を停止した。
3月14日、第三者調査機関による調査を開始。3月27日、調査機関による調査が完了し、クレジットカード情報の漏えいの可能性があることが判明した。
宗家 源吉兆庵は現在、システムのセキュリティ対策、監視体制を強化、再発防止を図っており、「宗家源吉兆庵オンラインショップ」の改修を進めている。
なお、今回の不正アクセスについて、監督官庁である個人情報保護委員会には3月29日に報告。5月24日に消費者へ電子メールでお詫びとお知らせを行なっている。
4月1日施行の改正個人情報保護法では、個人データの漏えいなどについて、個人の権利利益を害する恐れがある際は、個人情報保護委員会への報告、本人への通知を義務化している。