株式会社フクヨシは10月20日、同社が運営する作業服通販サイト「フクヨシショッピングサイト」への不正アクセスによる個人情報漏えいについて発表した。
これは2024年7月16日に、神奈川県警サイバー犯罪課から「フクヨシショッピングサイト」に悪性ファイルが存在する疑いに関する通報があり、2024年8月19日に神奈川県警サイバー犯罪課による調査結果を受け、2024年8月20日に当該サイトを閉鎖(メンテナンスページへリダイレクト)し、第三者調査機関による調査を開始したところ、当該サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスで、ペイメントアプリケーションの改ざんが行われたことが原因で、購入者のクレジットカード情報が漏えいし、一部顧客のカード情報が不正利用された可能性を、11月19日に完了した調査結果で確認したというもの。
漏えいした可能性があるのは、2021年3月31日から2024年8月9日の期間中に「旧フクヨシショッピングサイト」でクレジットカード決済を利用した顧客12,630件のカード情報(名義、番号、有効期限、セキュリティコード)とメールアドレス、パスワード、電話番号。
同社では対象の顧客に別途、メール及び書状にて個別に連絡を行う。
同社では既に、カード会社と連携し漏えいした可能性のあるカードの取引のモニタリングを継続して実施しているが、顧客に対しても、カード利用明細に身に覚えのない項目があった場合はカード会社に問い合わせるよう呼びかけている。
同社では公表が遅れた経緯について、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断したため、調査会社の調査結果とカード会社との連携を待ってから行うことにしたという。
同社では2024年8月20日に所轄の警察署へ被害届を提出するとともに、個人情報保護委員会への報告を完了している。
同社では現在、第三者機関のコンサルティングを受けており、すでにPCI DSS SAQを作成済みで、今後はPCI DSSの要件に準拠した運用を徹底し、システムのセキュリティ対策および監視体制を一層強化することで、再発防止に努めるとのこと。
