通販サイト「ななつ星 Gallery」に不正アクセス、セキュリティコード含む最大3,086件カード情報流出(JR九州) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.04.18(木)

通販サイト「ななつ星 Gallery」に不正アクセス、セキュリティコード含む最大3,086件カード情報流出(JR九州)

九州旅客鉄道株式会社は4月12日、同社が運営する「ななつ星 in 九州」の関連商品を販売する「ななつ星 Gallery」(https://nanatsuboshi-gallery.jp)に対し外部からの不正アクセスがあり顧客のカード情報を含む個人情報の流出が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 4 枚 拡大写真
九州旅客鉄道株式会社は4月12日、同社が運営する「ななつ星 in 九州」の関連商品を販売する「ななつ星 Gallery」(https://nanatsuboshi-gallery.jp)に対し外部からの不正アクセスがあり顧客のカード情報を含む個人情報の流出が判明したと発表した。

これは2019年3月11日午後3時頃に、決済代行会社から同サイトで利用されたクレジットカード情報の流出懸念についての連絡があり判明したもので、同社ではサイトの保守・管理を委託しているシステム会社へ依頼し同日中にサイトを閉鎖し、第三者調査機関「P.C.F. FRONTEO 株式会社」に調査を依頼した。

3月28日に提出された調査報告書によると、同サイトのシステムの一部の脆弱性を狙った第三者の不正アクセスにより、サイト開設から閉鎖までに同サイトを利用した顧客のクレジットカード情報流出の記録が確認され、加えて同サイトで登録されたその他の個人情報も流出した可能性が高いことが判明した。

流出した可能性があるのは2013年10月5日(サイト開設日)から2019年3月11日(サイト閉鎖日)に同サイトを利用した顧客の個人情報最大7,996名でその内訳は下記の通り。なお、クルーズトレイン「ななつ星 in 九州」車内で顧客が利用したクレジットカードは違うシステムを利用しているため漏えいの事実は確認されていない。

1.会員登録した顧客(カード情報登録あり):最大3,086件(2,816名)
・カード番号、有効期限、セキュリティコードが流出
・氏名、住所、郵便番号、電話番号、FAX番号、性別、生年月日、メールアドレス、職業、パスワード(暗号化処理済)、秘密の質問の答え(暗号化処理済)について流出の可能性が高い

2.会員登録した顧客(カード情報登録なし):最大3,148名
・氏名、住所、郵便番号、電話番号、FAX番号、性別、生年月日、メールアドレス、職業、パスワード(暗号化処理済)、秘密の質問の答え(暗号化処理済)」について流出の可能性が高い

3.海外の顧客:最大36名
・氏名、住所、郵便番号、電話番号、メールアドレスについて流出の可能性が高い

4.「ななつ星in九州」に乗車し後日配送にて配送限定品を購入した顧客:最大1,288名
・氏名、住所、郵便番号、電話番号について流出の可能性が高い

5.会員登録した顧客、および「ななつ星in九州」に乗車した顧客が配送限定品の送り先として指定した顧客:最大708名
・氏名、住所、郵便番号、電話番号、FAX番号ついて流出の可能性が高い

同社では3月28日に、個人情報保護委員会、九州運輸局、福岡県警察本部へ報告を行い、決済代行会社、カード会社にも報告書の内容を共有した。

同社では4月12日より、個人情報が流出した可能性のある顧客に対しメール及び郵便にて謝罪と経緯について書面を送付する。またカード会社と連携し、流出した可能性のあるカードによる取引のモニタリングの強化を継続して実施し不正利用の防止に努める。

同社では、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、再発防止策の構築と個人情報保護体制の一層の強化に取り組む。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 伝説的ハッカーグループ出身者が大統領候補に(The Register)

    伝説的ハッカーグループ出身者が大統領候補に(The Register)

  2. 複数のVPN製品に、正規ユーザになりすまされる脆弱性(JVN)

    複数のVPN製品に、正規ユーザになりすまされる脆弱性(JVN)

  3. 不正アクセスで「ショコラ ベルアメール」オンラインショップのカード情報が流出(ジェイ・ワークス)

    不正アクセスで「ショコラ ベルアメール」オンラインショップのカード情報が流出(ジェイ・ワークス)

  4. ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」

    ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」

  5. 宅配業者の不在通知メールを装ったフィッシングメールで個人情報が流出(NHK大阪放送局)

    宅配業者の不在通知メールを装ったフィッシングメールで個人情報が流出(NHK大阪放送局)

  6. 「WPA3」に弱いパスワードを取得されるなど複数の脆弱性(JVN)

    「WPA3」に弱いパスワードを取得されるなど複数の脆弱性(JVN)

  7. 通販サイト「ななつ星 Gallery」に不正アクセス、セキュリティコード含む最大3,086件カード情報流出(JR九州)

    通販サイト「ななつ星 Gallery」に不正アクセス、セキュリティコード含む最大3,086件カード情報流出(JR九州)

  8. 人事異動案に関するデータを無断で持ち出しLINEで拡散、関係した職員を懲戒処分に(吉川松伏消防組合)

    人事異動案に関するデータを無断で持ち出しLINEで拡散、関係した職員を懲戒処分に(吉川松伏消防組合)

  9. いまや攻撃サーバは海外には無い(The Register)

    いまや攻撃サーバは海外には無い(The Register)

  10. [配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行

    [配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行

ランキングをもっと見る