なかほら牧場の通販サイトに不正アクセス - 個人情報流出の可能性

岩手県のなかほら牧場のオンラインストアが不正アクセスを受け、クレジットカード情報を含む顧客の個人情報が流出した可能性があることがわかった。

企業農業研究所によれば、「なかほら牧場オンラインストア」に脆弱性が存在し、不正アクセスを受けたもの。決済アプリケーションを改ざんされ、利用者の情報などが流出した可能性がある。

同サイトでは2023年7月に新しいシステムへ移行しているが、移行前のシステムが侵害されていた。2017年6月1日から2023年7月11日までに同サイトを利用した顧客の氏名、住所、電話番号、生年月日、メールアドレス、会員番号、注文内容など1万4933件が外部に流出したおそれがある。

1万4933件のうち、5069件についてはクレジットカード情報なども被害にあったという。

2021年4月22日から2023年7月11日にかけて同サイト上で入力されたり、旧サイトのマイページ上で2023年9月12日までに更新されたクレジットカード情報としており、名義、番号、有効期限、セキュリティコードなどを窃取され、不正に利用された可能性がある。

2023年9月8日にクレジットカード会社から指摘があり、問題が発覚。同月12日に個人情報保護委員会へ報告した。外部事業者が実施した調査は同年11月27日に終えており、翌12月26日に警察へ被害を届けている。

同社では、対象となる顧客に対し、2024年2月28日よりメールで経緯の報告や謝罪を行っており、身に覚えのない請求などが行われていないか確認するよう注意を喚起した。

2023年7月11日より運用している現行のオンラインストアについては、旧来と異なる決済システムを採用しており、今回判明した不正アクセスによる影響を否定している。

問題の発覚を受け、2023年9月12日よりクレジットカードの決済を停止しているが、再開日については今後アナウンスする予定。

（Security NEXT - 2024/02/29 ）ツイート