片山商事株式会社は10月22日、同社が運営する「ナチュレ片山オンラインストア」への不正アクセスによる個人情報漏えいについて発表した。
これは2024年11月22日に、一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)から「ナチュレ片山オンラインストア」を利用した顧客のカード情報の漏えい懸念について連絡があり、2024年12月5日に当該サイトを停止し、第三者調査機関による調査を行ったところ、当該サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスで、ペイメントアプリケーションの改ざんが行われたことが原因で、当該サイトを利用した顧客の個人情報およびカード情報が漏えいし、一部顧客のカード情報が不正利用された可能性を、2025年4月3日に完了した調査機関による調査結果で確認したというもの。
漏えいした可能性があるのは、2021年6月16日から2024年12月5日の期間中に「ナチュレ片山オンラインストア」でクレジットカード決済を利用した顧客1,049件のカード情報(名義、番号、有効期限、セキュリティコード)と、2020年1月16日から2024年12月5日の期間中に当該ストアで顧客情報を入力したことがある顧客2,466件の個人情報(氏名、生年月日、性別、住所、電話番号、メールアドレス)。
同社では対象の顧客に別途、メール及び書状にて個別に連絡を行う。
同社では既に、カード会社と連携し漏えいした可能性のあるカードの取引のモニタリングを継続して実施しているが、顧客に対しても、カード利用明細に身に覚えのない項目があった場合はカード会社に問い合わせるよう呼びかけている。
同社では公表が遅れた経緯について、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断したため、調査会社の調査結果とカード会社との連携を待ってからの発表にしたとしている。
同社では2025年1月15日に、新潟県警察本部生活安全部サイバー犯罪対策課への報告と所轄警察署への被害申告を行っている。
同社では、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、再発防止を図るとのこと。
