Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ジュエリー販売サイトに不正アクセス – 顧客情報最大20万件が流出か

ジュエリーやアクセサリーの通信販売サイト「THE KISS ONLINE SHOP」が、2月に不正アクセスを受け、最大19万9709件の顧客情報が流出していた可能性があることがわかった。2月に犯人からとみられる不正アクセスの通告なども受けていたという。

サイトを運営するザ・キッスによれば、最初に不正アクセスの痕跡を確認したのは2月10日。自社で痕跡を発見し、外部事業者の調査により、不正アクセスの原因となったプログラムを把握。削除し、管理ページのパスワード変更などを実施していた。しかし、2週間後の2月24日に、同社に対して不正アクセスを行ったとの犯行声明が届き、顧客情報流出の痕跡を確認したという。

さらに3月2日には、クレジットカード情報が流出した可能性について決済代行会社から連絡があり、指摘を受けてウェブサイトを停止した。

決済代行会社の指摘を受けて依頼した調査会社より、4月1日に顧客情報やクレジットカードが流出した可能性について最終報告があり、最大19万9709件の会員登録情報が流出した可能性が判明。氏名や住所、電話番号、メールアドレス、生年月日、ユーザーID、パスワードなどが含まれる。

また2016年1月16日から3月2日までにクレジットカード決済を利用した顧客の氏名やクレジットカード番号、有効期限、セキュリティコードなどのべ537件が含まれる。犯人と見られる不正アクセスの通告や、顧客情報漏洩の痕跡確認後もサイトの停止まで漏洩が続いていた可能性がある。

同社は今回の問題について、詳細な事実関係の調査を行っていたため、報告が遅れたと釈明。対象となる顧客には、順次メールで連絡を取っている。また停止中のサイトについては、より安全性の高いECシステムにリプレイスして再開する予定だという。

(Security NEXT - 2016/04/12 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

米信用機関で個人情報1.4億件が流出 - 便乗フィッシング攻撃に懸念
茶類の通販サイトでクレカ情報流出の可能性 - 「Magento」の脆弱性突かれる
ECサイトのASPサービスに不正アクセス - 複数サイト顧客のクレカ情報が流出
不正アクセス被害の「B.LEAGUE」、4カ月ぶりにクレカ決済を再開
マネースクウェア・ジャパン、顧客情報約11万件の流出を確認
庁内システムへの不正アクセスなどで職員を処分 - 新潟県
関東財務局、顧客情報流出でM2Jに行政処分 - 新規口座開設を当面停止
M2J、顧客情報約2500件の流出が判明 - 1年前にも顧客情報約11万件が不正アクセスを受けた可能性
ソフバンテク、内部でマルウェア感染を確認 - 取引先情報含むサーバへ不正アクセス
投資情報サイトに不正アクセス、クレカ情報が流出か - 公表中止で混乱も