「SOKAオンラインストア」への不正アクセス、偽の決済画面でカード情報を収集(聖教新聞社) | ScanNetSecurity
2019.11.15(金)

「SOKAオンラインストア」への不正アクセス、偽の決済画面でカード情報を収集(聖教新聞社)

聖教新聞社は10月9日、9月4日に公表した同社が運営する「SOKAオンラインストア」での第三者からクレジットカード情報が不正取得された可能性について、調査会社Payment Card Forensics 株式会社に依頼した調査の結果を発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 7 枚 拡大写真
聖教新聞社は10月9日、9月4日に公表した同社が運営する「SOKAオンラインストア」での第三者からクレジットカード情報が不正取得された可能性について、調査会社Payment Card Forensics 株式会社に依頼した調査の結果を発表した。

これは8月24日に、クレジットカード決済代行会社からカード情報が不正に取得されている可能性についての報告を受け、同サイトを停止し対策委員会を設置、8月28日にPayment Card Forensics 株式会社に調査を依頼したというもの。

調査報告書によると、同サイトの運営を委託しているトランスコスモス株式会社が契約しているサーバーへ7月30日に不正ファイルが混入されプログラムの改ざんに遭い、顧客が商品を購入する際に偽のカード決済画面に遷移しカード情報が不正に取得された可能性が発覚した。さらに、偽のカード決済画面でカード情報を入力し送信ボタンを押すとエラーが表示され、本来の同サイトの画面に転送されるという巧妙な仕組みになっていた。

併せてデータベースも不正にアクセスを受け、個人情報を不正に取得された可能性が判明した。

漏えいの対象となるカード情報はカード番号、名義、有効期限、セキュリティコードで、2018年7月30日から8月24日にカード情報を入力して商品を注文した顧客2,481名分。

漏えいの対象となるのはストアオープンした2014年10月1日から2018年8月24日に同サイトで会員登録を行ったユーザー98,852名、会員登録せずに商品を購入したユーザー(電話での商品購入者含む)と「お問い合わせフォーム」に入力したユーザー82,848名で、下記の個人情報が不正取得された可能性がある。

・サイトでの購入者:氏名、性別、生年月日、職業、住所、電話番号、FAX番号、メールアドレス、注文履歴
・電話での購入者:氏名、住所、電話番号、注文履歴
・商品を受取者:氏名、住所、電話番号
・会員が登録された配送先の登録情報:配送先氏名、配送先住所
・「お問い合わせフォーム」入力ユーザー:氏名、メールアドレス

同社では、カード情報が不正取得された可能性のある顧客に対してカード利用明細の確認やカード会社への問い合わせ、また個人情報が不正取得された可能性のある顧客に対して不審な電話やメール、ダイレクトメール等に注意するよう呼びかけている。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

    メール誤送信後に隠蔽を行った25歳職員を懲戒処分(川崎市)

  2. CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

    CrowdStrike Blog:新学期をさらに憂うつにさせるランサムウェア

  3. サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

    サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)

  4. 独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

    独裁者御用達マルウェア「フィンフィッシャー」作成企業、ドイツのジャーナリストへ脅迫状 ~ 奴らは「ストライサンド効果」を知らないのか(The Register)

  5. 重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

    重要インフラ14分野による分野横断的演習を開催、約5,000名が参加(NISC)

  6. 「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

    「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

  7. 「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

    「5pb. Records div2 official shop」へ不正アクセス、カード情報が流出(コムス)

  8. マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)

    マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)

  9. Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

    Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)

  10. 日米 ISAC間でサイバー脅威情報共有を強化(総務省)

    日米 ISAC間でサイバー脅威情報共有を強化(総務省)

ランキングをもっと見る