激ロックエンタテインメント株式会社は6月19日、2019年9月6日に公表した同社が運営するロックファッションやバンドTシャツを扱う「GEKIROCK CLOTHING」への不正アクセスによるカード情報流出について、最終報を発表した。
これは2019年9月3日に、群馬県警察本部サイバー犯罪対策課から同社に対し、海外のサイト上に同社が運営する「GEKIROCK CLOTHING」の名前を騙ったカード情報の不正取得ページが存在する旨の連絡があり、サービス停止を行い調査を進めたところ、海外からの不正アクセスにより管理系機能のファイルアップロード機能を経由してサイト内のファイルが不正に改ざんされ、顧客をカード情報の不正取得ページに誘導しカード情報を入力させる手口でカード情報の漏えいが判明したというもの。なお現在、不正ページは消失している。
同社では同時に、第三者機関による調査を行ったところ、2019年10月29日に完了した調査結果より同サイト利用者のクレジットカード情報流出と一部顧客のカード情報の不正利用の可能性を確認した。
また同社では2019年11月5日に、メルマガ機能が第三者に悪用され悪意あるページへ誘導する内容のメールが「GEKIROCK CLOTHING」から発信され、2019年9月9日に再開していた同サイトの閉鎖を公表した。
流出した可能性があるのは、2019年8月23日午前11時55分から9月3日午前10時47分の間に「GEKIROCK CLOTHING」を利用し、クレジットカード情報を入力する不正ページへ誘導されカード情報を入力した顧客 最大321件のカード情報(番号、名義、セキュリティコード、有効期限)。なお、公表当初は最大1,269件としていたが、各クレジットカード会社の調査で可能性のある件数が減少している。ただし、2度のカード情報入力、または別のカード番号を入力した利用者がいる可能性があり、決済代行会社にオーソリが伝送されていたカード番号以外にも「偽の決済フォーム」上に入力されたカード番号が存在する可能性がある。
同社では2019年9月3日に警視庁に被害申告を、2019年11月8日には個人情報保護委員会に届出済み。
同社では、内部調査に加えて専門・中立的な外部の調査会社に依頼して調査を行い、その結果を踏まえて旧サーバを廃止した上で新規でシステムを構築、現在サービスを再開している。
これは2019年9月3日に、群馬県警察本部サイバー犯罪対策課から同社に対し、海外のサイト上に同社が運営する「GEKIROCK CLOTHING」の名前を騙ったカード情報の不正取得ページが存在する旨の連絡があり、サービス停止を行い調査を進めたところ、海外からの不正アクセスにより管理系機能のファイルアップロード機能を経由してサイト内のファイルが不正に改ざんされ、顧客をカード情報の不正取得ページに誘導しカード情報を入力させる手口でカード情報の漏えいが判明したというもの。なお現在、不正ページは消失している。
同社では同時に、第三者機関による調査を行ったところ、2019年10月29日に完了した調査結果より同サイト利用者のクレジットカード情報流出と一部顧客のカード情報の不正利用の可能性を確認した。
また同社では2019年11月5日に、メルマガ機能が第三者に悪用され悪意あるページへ誘導する内容のメールが「GEKIROCK CLOTHING」から発信され、2019年9月9日に再開していた同サイトの閉鎖を公表した。
流出した可能性があるのは、2019年8月23日午前11時55分から9月3日午前10時47分の間に「GEKIROCK CLOTHING」を利用し、クレジットカード情報を入力する不正ページへ誘導されカード情報を入力した顧客 最大321件のカード情報(番号、名義、セキュリティコード、有効期限)。なお、公表当初は最大1,269件としていたが、各クレジットカード会社の調査で可能性のある件数が減少している。ただし、2度のカード情報入力、または別のカード番号を入力した利用者がいる可能性があり、決済代行会社にオーソリが伝送されていたカード番号以外にも「偽の決済フォーム」上に入力されたカード番号が存在する可能性がある。
同社では2019年9月3日に警視庁に被害申告を、2019年11月8日には個人情報保護委員会に届出済み。
同社では、内部調査に加えて専門・中立的な外部の調査会社に依頼して調査を行い、その結果を踏まえて旧サーバを廃止した上で新規でシステムを構築、現在サービスを再開している。
