「エコレオンラインショップ」へ不正アクセス、セキュリティコード含むカード情報が流出の可能性（レジナ）

株式会社レジナは4月10日、同社が運営する生活雑貨や自然食品を扱う「エコレオンラインショップ」への不正アクセスでカード情報が流出した可能性が判明したと発表した。

これは同サイトの運営を委託するシステム運営会社からクレジットカード情報の流出懸念について連絡を受け、2018年12月24日より第三者調査機関「Payment Card Forensics 株式会社」へ調査を依頼、2019年1月26日に最終調査報告書を受領した。

調査結果によると、2018年5月16日に攻撃者が販売管理システムの脆弱性を突いてデータベースへ不正プログラムをページ内に埋め込み、ページ内の入力フォームに入力されたカード会員情報を外部サイトへ転送したために、2018年5月16日以降に同サイトのカード利用者のカード会員情報が窃取されていたと推測される。

対象となるのは、2018年5月16日から2018年12月11日の期間に同サイトでカード情報の入力を行い決済が成立した247件の顧客に加え、カード決済に至らずカード番号が特定されていない顧客についても、カード番号、カード有効期限、カード名義人名、セキュリティコードが流出した可能性がある。

同社では2018年12月26日に、OS最新化とセキュリティチェック結果に対する修正を実施し、サイトの脆弱性は解消された。また調査結果をカード会社や決済代行会社、千葉県警、警視庁、個人情報保護委員会に提出している。

同社では決済が成立し連絡先が判明している顧客についてはメールによる個別告知を実施、カードの利用明細書に身に覚えのない請求がないか確認するよう呼びかけている。

同社では現在、同サイトは再開しているが、カード決済については、今後もセキュリティを更に強化したとしても安全を100％保証することは非常に難しいため取り扱い自体を中止するとのこと。