日本酒定期購入サービス「KURAND CLUB」へ不正アクセス、カード情報23件流出（リカー・イノベーション）

リカー・イノベーション株式会社は7月29日、同社が運営する日本酒定期購入サービス「KURAND CLUB」（https://kurand.jp/shop/club）のECサイトが第三者からの不正アクセスにより一部顧客のクレジットカード情報を含む個人情報の流出が判明したと発表した。

これは3月14日に、警視庁から同社に対しカード情報が同サイトから流出した可能性について連絡を受け、同社では緊急対策本部を設置するとともに同サイトとは別に同社が運営する日本酒オンラインストア「KURAND」のサービスを停止、原因究明と実態の把握のために第三者調査機関P.C.F. FRONTEO株式会社へ調査を依頼したところ、第三者調査機関から4月22日に受領した最終調査報告書により、同サイトのシステムの一部の脆弱性を突いた第三者の不正アクセスによってペイメントモジュールが改ざんされカード情報の流出が確認されたというもの。

流出したクレジットカード情報は、2019年3月11日から3月14日に同サイトで決済を試みた顧客23件のカード会員名、カード番号、カード有効期限およびセキュリティコードで、カードの不正利用が確認されている。

また、流出した可能性のあるその他の個人情報は2019年3月11日から3月14に同サイトで会員登録をしていた顧客最大4,921件の氏名、住所、連絡先および購買履歴。

なお、併せて調査対象とした、日本酒オンラインストア「KURAND」は同サイトと分離されたシステムで運営していたために漏えいなどの事実は確認されていない。

同社では調査報告受領前の3月15日に、二次被害の拡大防止のためにカード情報が流出した可能性のある顧客へ電子メール、郵送にて謝罪と注意喚起の連絡を行っていたが、調査結果を踏まえ7月29日に、カード情報並びに個人情報流出の対象となる顧客への個別の連絡を開始した。

同社では、5月22日に所轄官庁である個人情報保護委員会への報告を、5月30日に警察への被害届出を実施済み。

既に同社では、カード会社と連携し不正取得された可能性のあるカードによる取引の監視を強化しているが、顧客に対してもカードの利用明細書に身に覚えのない請求がないか確認するよう呼びかけている。

同社では今後、1.同サイトのサーバーの再構築、2.防御装置（TRUSTe）の取得に向け同社内で整備中、3.同社が運営する全サービスでのシステムセキュリティ体制の強化と運用に対するガイドラインの見直しと安全点検、監視の強化、4.内部統制およびコンプライアンスの向上の4点を行うことにより、再発防止に努めるとのこと。