決済画面書き換えカード情報窃取（熊本ワイン）

熊本ワイン株式会社は6月17日、同社が運営する「熊本ワインショッピングサイト」にて、第三者からの不正アクセスを受け購入者の一部のクレジットカード情報が流出した可能性が判明したと発表した。

これは2019年1月22日に、同サイトのアプリケーションの機能を悪用した不正アクセスにより、決済情報入力画面が書き換えられ、クレジット決済情報入力時に購入者が入力したカード情報を窃取されたことが判明したというもの。その後、同社では1月23日に不正プログラムが実行されないよう悪用されたアプリケーションの機能を停止するとともに、1月30日にカード決済機能を停止。また被害状況の把握と二次被害防止対策のため社内調査を継続するとともに、1月23日に熊本県警察本部サイバー犯罪対策課に調査を依頼、2月14日に外部のセキュリティ専門機関によるフォレンジック調査を開始した。

3月30日に受領した外部のセキュリティ専門機関によるフォレンジック調査結果により判明した被害の詳細は、同サイトで2018年12月5日から2019年1月30日に決済が行われた以下の情報。

1.クレジットカード情報（番号、有効期限、セキュリティコード、住所、氏名）：最大444件
※重複するカード情報、誤ったカード情報を含む

2.カード情報以外の情報（住所、氏名、電話番号、メールアドレス、購入履歴、発送先情報、会員ID、パスワード）：最大7,542件
※対象期間中に本サービスに会員登録された件数、調査では上記項目の不正な転送は確認されなかったがデータベースへの侵入が可能な状態であった。

同社では既に、カード会社に流出したカード取引のモニタリングを依頼、顧客にもカード利用明細に覚えのない請求項目が無いか確認するよう呼びかけている。

同社では今後、全サービスのセキュリティ強化を行うとともに、調査結果を踏まえ外部の専門家アドバイザーを含めた管理体制と対策を講じ、再発防止と信頼回復に努めるとのこと。