「GEKIROCK CLOTHING」への不正アクセス最終報、カード情報321件が流出の可能性(激ロックエンタテインメント) | ScanNetSecurity
2024.04.25(木)

「GEKIROCK CLOTHING」への不正アクセス最終報、カード情報321件が流出の可能性(激ロックエンタテインメント)

激ロックエンタテインメント株式会社は6月19日、2019年9月6日に公表した同社が運営するロックファッションやバンドTシャツを扱う「GEKIROCK CLOTHING」への不正アクセスによるカード情報流出について、最終報を発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 5 枚 拡大写真
激ロックエンタテインメント株式会社は6月19日、2019年9月6日に公表した同社が運営するロックファッションやバンドTシャツを扱う「GEKIROCK CLOTHING」への不正アクセスによるカード情報流出について、最終報を発表した。

これは2019年9月3日に、群馬県警察本部サイバー犯罪対策課から同社に対し、海外のサイト上に同社が運営する「GEKIROCK CLOTHING」の名前を騙ったカード情報の不正取得ページが存在する旨の連絡があり、サービス停止を行い調査を進めたところ、海外からの不正アクセスにより管理系機能のファイルアップロード機能を経由してサイト内のファイルが不正に改ざんされ、顧客をカード情報の不正取得ページに誘導しカード情報を入力させる手口でカード情報の漏えいが判明したというもの。なお現在、不正ページは消失している。

同社では同時に、第三者機関による調査を行ったところ、2019年10月29日に完了した調査結果より同サイト利用者のクレジットカード情報流出と一部顧客のカード情報の不正利用の可能性を確認した。

また同社では2019年11月5日に、メルマガ機能が第三者に悪用され悪意あるページへ誘導する内容のメールが「GEKIROCK CLOTHING」から発信され、2019年9月9日に再開していた同サイトの閉鎖を公表した。

流出した可能性があるのは、2019年8月23日午前11時55分から9月3日午前10時47分の間に「GEKIROCK CLOTHING」を利用し、クレジットカード情報を入力する不正ページへ誘導されカード情報を入力した顧客 最大321件のカード情報(番号、名義、セキュリティコード、有効期限)。なお、公表当初は最大1,269件としていたが、各クレジットカード会社の調査で可能性のある件数が減少している。ただし、2度のカード情報入力、または別のカード番号を入力した利用者がいる可能性があり、決済代行会社にオーソリが伝送されていたカード番号以外にも「偽の決済フォーム」上に入力されたカード番号が存在する可能性がある。

同社では2019年9月3日に警視庁に被害申告を、2019年11月8日には個人情報保護委員会に届出済み。

同社では、内部調査に加えて専門・中立的な外部の調査会社に依頼して調査を行い、その結果を踏まえて旧サーバを廃止した上で新規でシステムを構築、現在サービスを再開している。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  4. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  5. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  6. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  7. 情報処理学会、高等学校情報科の全教科書の用語リスト公開

    情報処理学会、高等学校情報科の全教科書の用語リスト公開

  8. Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

    Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に

  9. LINE client for iOS にサーバ証明書の検証不備の脆弱性

    LINE client for iOS にサーバ証明書の検証不備の脆弱性

  10. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

ランキングをもっと見る