「お取り寄せページ」へ不正アクセス、最大18,855件のカード情報が流出(京都一の傳) | ScanNetSecurity
2020.08.04(火)

「お取り寄せページ」へ不正アクセス、最大18,855件のカード情報が流出(京都一の傳)

京都の西京漬け専門店である株式会社京都一の傳は10月8日、同社が運営する「京都一の傳 お取り寄せページ」( http://www.ichinoden.jp/ )にて第三者からの不正アクセスを受け、カード情報を含む個人情報の流出が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 8 枚 拡大写真
京都の西京漬け専門店である株式会社京都一の傳は10月8日、同社が運営する「京都一の傳 お取り寄せページ」( http://www.ichinoden.jp/ )にて第三者からの不正アクセスを受け、カード情報を含む個人情報の流出が判明したと発表した。

これは5月17日に、同社に対しクレジットカード会社からカード情報流出の懸念について指摘があり、同日中にカード決済を停止、社内調査を進めるとともに第三者の専門調査会社による調査を実施、7月23日に調査結果報告を受けカード決済代行会社と協議のうえ、カード情報を含む個人情報流出の可能性があると判断したというもの。当該サイトのシステムの一部脆弱性を突いた第三者の不正アクセスによって、ペイメントモジュールが改ざんされていた。

流出した個人情報は下記の通り。

1.クレジットカード情報
2018年8月18日から2019年5月17日に当該サイトでカード決済を利用した顧客18,855件のカード情報(会員名、番号、有効期限、セキュリティコード)。

2.注文者情報・発送先情報
2018年3月1日から2019年6月9日に当該サイトで注文時に入力した59,045件の注文者情報・発送先情報(氏名、郵便番号、住所、電話番号)。

3.会員情報
2.の注文者情報・発送先情報を含む72,738件の会員情報(必須項目:氏名、郵便番号、住所、電話番号、メールアドレス、パスワード、任意項目:性別、生年月日)。

同社では6月9日に、第三者の専門調査会社のし的により情報流出の原因である不正プログラムを除去、10月8日より個人情報流出の可能性がある顧客に対し、メールにて謝罪と注意喚起を行っている。

また同社では5月31日に個人情報保護委員会に、6月3日に所轄の警察署である京都府警察中京警察署に報告済み。

同社では既に、流出した可能性のあるカード情報についてカード会社に不正利用の監視強化を依頼しているが、顧客に対しカードの利用履歴に身に覚えのない請求項目がないか確認するよう呼びかけている。

同社では今後、決済代行会社提供の決済方式のセキュリティ強化を進めるとともにシステムの脆弱性診断を定期的に実施し、脆弱性対策として必要なプログラムの修正や適切な対処を実施し運用することで再発防止に努めるとのこと。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  2. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  3. 初心者向けにサイバーセキュリティ・リレー講座 全8回を実施(経済産業省四国経済産業局)

    初心者向けにサイバーセキュリティ・リレー講座 全8回を実施(経済産業省四国経済産業局)

  4. 攻撃活動が再開した「Emotet」の観測状況を公開(IPA)

    攻撃活動が再開した「Emotet」の観測状況を公開(IPA)

  5. 再委託先が設定ミス「中小企業等支援策活用サポートセンター」相談者情報が閲覧可能に(京都市)

    再委託先が設定ミス「中小企業等支援策活用サポートセンター」相談者情報が閲覧可能に(京都市)

  6. ハードディスク処分、テクニカルセンター内映像をYouTube公開(ブロードリンク)

    ハードディスク処分、テクニカルセンター内映像をYouTube公開(ブロードリンク)

  7. 増加するランサムウェア攻撃、世界中の事例を紹介(CrowdStrike)

    増加するランサムウェア攻撃、世界中の事例を紹介(CrowdStrike)PR

  8. 破産者等の個人情報掲載サイトに停止命令、対応なき場合 罰則求める刑事告発予定(個人情報保護委員会)

    破産者等の個人情報掲載サイトに停止命令、対応なき場合 罰則求める刑事告発予定(個人情報保護委員会)

  9. 「ショップチャンネル」にパスワードリスト型攻撃、定常的なモニタリングで発覚(ジュピターショップチャンネル)

    「ショップチャンネル」にパスワードリスト型攻撃、定常的なモニタリングで発覚(ジュピターショップチャンネル)

  10. 初級者向けログ分析トレーニング用コンテンツをGitHub上で公開(JPCERT/CC)

    初級者向けログ分析トレーニング用コンテンツをGitHub上で公開(JPCERT/CC)

ランキングをもっと見る