通販サイト「ななつ星 Gallery」に不正アクセス、セキュリティコード含む最大3,086件カード情報流出(JR九州) | ScanNetSecurity
2020.01.24(金)

通販サイト「ななつ星 Gallery」に不正アクセス、セキュリティコード含む最大3,086件カード情報流出(JR九州)

九州旅客鉄道株式会社は4月12日、同社が運営する「ななつ星 in 九州」の関連商品を販売する「ななつ星 Gallery」(https://nanatsuboshi-gallery.jp)に対し外部からの不正アクセスがあり顧客のカード情報を含む個人情報の流出が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 4 枚 拡大写真
九州旅客鉄道株式会社は4月12日、同社が運営する「ななつ星 in 九州」の関連商品を販売する「ななつ星 Gallery」(https://nanatsuboshi-gallery.jp)に対し外部からの不正アクセスがあり顧客のカード情報を含む個人情報の流出が判明したと発表した。

これは2019年3月11日午後3時頃に、決済代行会社から同サイトで利用されたクレジットカード情報の流出懸念についての連絡があり判明したもので、同社ではサイトの保守・管理を委託しているシステム会社へ依頼し同日中にサイトを閉鎖し、第三者調査機関「P.C.F. FRONTEO 株式会社」に調査を依頼した。

3月28日に提出された調査報告書によると、同サイトのシステムの一部の脆弱性を狙った第三者の不正アクセスにより、サイト開設から閉鎖までに同サイトを利用した顧客のクレジットカード情報流出の記録が確認され、加えて同サイトで登録されたその他の個人情報も流出した可能性が高いことが判明した。

流出した可能性があるのは2013年10月5日(サイト開設日)から2019年3月11日(サイト閉鎖日)に同サイトを利用した顧客の個人情報最大7,996名でその内訳は下記の通り。なお、クルーズトレイン「ななつ星 in 九州」車内で顧客が利用したクレジットカードは違うシステムを利用しているため漏えいの事実は確認されていない。

1.会員登録した顧客(カード情報登録あり):最大3,086件(2,816名)
・カード番号、有効期限、セキュリティコードが流出
・氏名、住所、郵便番号、電話番号、FAX番号、性別、生年月日、メールアドレス、職業、パスワード(暗号化処理済)、秘密の質問の答え(暗号化処理済)について流出の可能性が高い

2.会員登録した顧客(カード情報登録なし):最大3,148名
・氏名、住所、郵便番号、電話番号、FAX番号、性別、生年月日、メールアドレス、職業、パスワード(暗号化処理済)、秘密の質問の答え(暗号化処理済)」について流出の可能性が高い

3.海外の顧客:最大36名
・氏名、住所、郵便番号、電話番号、メールアドレスについて流出の可能性が高い

4.「ななつ星in九州」に乗車し後日配送にて配送限定品を購入した顧客:最大1,288名
・氏名、住所、郵便番号、電話番号について流出の可能性が高い

5.会員登録した顧客、および「ななつ星in九州」に乗車した顧客が配送限定品の送り先として指定した顧客:最大708名
・氏名、住所、郵便番号、電話番号、FAX番号ついて流出の可能性が高い

同社では3月28日に、個人情報保護委員会、九州運輸局、福岡県警察本部へ報告を行い、決済代行会社、カード会社にも報告書の内容を共有した。

同社では4月12日より、個人情報が流出した可能性のある顧客に対しメール及び郵便にて謝罪と経緯について書面を送付する。またカード会社と連携し、流出した可能性のあるカードによる取引のモニタリングの強化を継続して実施し不正利用の防止に努める。

同社では、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、再発防止策の構築と個人情報保護体制の一層の強化に取り組む。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 汚染された Tor ブラウザ、狙われるダークウェブ利用者

    汚染された Tor ブラウザ、狙われるダークウェブ利用者

  2. 社内パソコンが「Emotet」に感染、取引先からの連絡で判明(岐阜新聞社)

    社内パソコンが「Emotet」に感染、取引先からの連絡で判明(岐阜新聞社)

  3. 不正アクセスによる情報流出、送信ファイルを特定するためのログを攻撃者が消去(三菱電機)

    不正アクセスによる情報流出、送信ファイルを特定するためのログを攻撃者が消去(三菱電機)

  4. 「IE」のJScriptスクリプトエンジンに未対策の脆弱性、悪用も確認(JVN)

    「IE」のJScriptスクリプトエンジンに未対策の脆弱性、悪用も確認(JVN)

  5. マルウェアは「Emotet」が3カ月連続でトップに--月例レポート(チェック・ポイント)

    マルウェアは「Emotet」が3カ月連続でトップに--月例レポート(チェック・ポイント)

  6. 「県税督促状」印刷ミス分を社外に持ち出し大阪駅のゴミ箱に廃棄(さくらケーシーエス)

    「県税督促状」印刷ミス分を社外に持ち出し大阪駅のゴミ箱に廃棄(さくらケーシーエス)

  7. 脆弱性診断の「T型フォード」、技術標準化は学生のセキュリティ業界就職の可能性広げるか

    脆弱性診断の「T型フォード」、技術標準化は学生のセキュリティ業界就職の可能性広げるかPR

  8. 第三者からの不正アクセスで個人情報と企業情報が外部流出した可能性(三菱電機)

    第三者からの不正アクセスで個人情報と企業情報が外部流出した可能性(三菱電機)

  9. Microsoft Windows の AppXSvc において設定ファイルの操作時のハードリンク検証不備により任意のファイルが上書き可能となる脆弱性(Scan Tech Report)

    Microsoft Windows の AppXSvc において設定ファイルの操作時のハードリンク検証不備により任意のファイルが上書き可能となる脆弱性(Scan Tech Report)

  10. Google form設定誤りで「note pro」関連情報が他の取引企業から閲覧可能に(ピースオブケイク)

    Google form設定誤りで「note pro」関連情報が他の取引企業から閲覧可能に(ピースオブケイク)

ランキングをもっと見る