「10mois WEBSHOP」へ不正アクセス、カード決済を停止し調査中にも再度改ざん被害(フィセル) | ScanNetSecurity
2024.03.29(金)

「10mois WEBSHOP」へ不正アクセス、カード決済を停止し調査中にも再度改ざん被害(フィセル)

ベビー用品や子ども用品の販売等を行う有限会社フィセルは9月19日、同社商品を販売する「10mois WEBSHOP」( https://www.ficelle.co.jp/ )に外部からの不正アクセスがあり顧客の個人情報が流出した可能性が判明したと発表した。

インシデント・事故 インシデント・情報漏えい
ベビー用品や子ども用品の販売等を行う有限会社フィセルは9月19日、同社商品を販売する「10mois WEBSHOP」( https://www.ficelle.co.jp/ )に外部からの不正アクセスがあり顧客の個人情報が流出した可能性が判明したと発表した。

これは、(1)2018年8月7日から2019年3月27日に同サイトで決済を行った顧客のクレジットカード情報が、(2)2014年12月12日から2019年5月20日に同サイトで会員登録及び商品購入等を行った顧客の個人情報(カード情報除く)が、(3)2019年5月14日から2019年5月20日に同サイトで決済を行った顧客のクレジットカード情報がそれぞれ流出した可能性が判明したというもの。

(1)~(3)の詳細についてはそれぞれ下記の通り。

(1)クレジットカード情報の流出について1
2019年3月27日午後3時45分頃に、クレジットカード決済代行会社から同社に個人情報流出の懸念がある旨の連絡があり同日午後3時55分頃までに同サイトでのカード決済を停止、同日中にP.C.F Fronteo株式会社にフォレンジック調査を依頼、4月27日に受領した最終調査報告書から同サイトの脆弱性を狙った外部からの不正アクセスによりペイメントモジュールの改ざんが行われ、転送された偽決済ページにてカード情報を入力した顧客のカード情報流出の可能性が判明した。

流出の対象となるのは、2018年8月7日から2019年3月27日に同サイトでカード決済を利用した顧客 最大11,913件のカード情報(会員名、番号、有効期限、セキュリティコード)。なお、偽決済ページにカード情報入力後に正規の決済に進まなかった顧客の情報の特定はできていない。

同社では5月13日に、蒲郡警察署に被害報告を申告を、6月17日に個人情報保護委員会へ報告を行った。

(2)会員情報・購入履歴等の漏えいについて
同社では(1)の対応を行っている最中に新たな個人情報の流出が判明し2019年5月20日に同サイトを停止、5月24日にP.C.F Fronteo株式会社に追加のフォレンジック調査を依頼、5月31日に受領した追加のフォレンジック調査の報告書によると、同サイトの脆弱性を狙った外部からの不正アクセスによりペイメントモジュールの改ざんが行われ、2019年5月13日から5月20日までの期間に、同サイトのデータベースに保存されていた顧客に関する情報が流出した可能性が判明した。

流出の対象となるのは、2014年12月12日から2019年5月20日に同サイトで会員登録を行った顧客と商品を購入した顧客、同サイトからギフト商品が届いた顧客、また、10moisAOYAMA店・10mois NAGOYA店で会員登録を行った顧客 最大108,131件で、必須項目の氏名、電話番号、メールアドレス、住所、WEBSHOPの注文履歴、会員IDに加え、任意項目のFAX番号、性別、職業、勤務先、生年月日、メールマガジンの送付希望、更に10moisAOYAMA店・10mois NAGOYA店で会員登録を行った顧客は登録店舗、DM送付が漏えいした可能性がある。また、注文者と届け先が異なる場合は、必須項目の届け先の氏名・電話番号・住所に加え、任意項目の届け先の勤務先・FAXも対象となる。

同社では6月4日に蒲郡警察署に被害申告を、6月17日に個人情報保護委員会へ報告を行った。

(3)クレジットカード情報の流出について2
同社では2019年3月27日に同サイトでのカード決済を停止し(1)の対応を行っていたが、顧客から同サイトでカード情報の入力画面が現れ、カード情報を入力しても決済が完了せず、カートが空になったとの連絡があり、2019年5月20日に同サイトを停止、5月24日にP.C.F Fronteo株式会社に追加のフォレンジック調査を依頼、5月31日に受領した追加のフォレンジック調査の報告書によると、同サイトの脆弱性を狙った外部からの不正アクセスにより、商品を購入しようとした顧客を偽のクレジットカード情報入力画面に誘導するよう改ざんが行われ、誘導された偽のカード情報入力画面でカード情報を入力した顧客の情報が外部に流出した可能性が判明した。

流出の対象となるのは、2019年5月14日から2019年5月20日に同サイトから転送された偽決済ページでカード情報を入力した顧客で偽のカード情報入力ページへの転送が確認できたIPアドレスの件数より最大30件のカード情報(会員名、番号、有効期限、セキュリティコード)。なお、転送先のページは同サイト外のページのため同社ではカード情報を入力した顧客を把握できていない。

同社では6月4日に蒲郡警察署に被害申告を、6月17日に個人情報保護委員会へ報告を行った。


同社ではクレジットカード情報流出の対象の顧客に書面で連絡を行うとともに、クレジットカード会社と連携し流出した可能性のあるカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めているが、顧客に対しても利用明細に身に覚えのない請求項目がないか確認するよう呼びかけている。

同社では、Webショップのセキュリティ強化を行い、9月21日午前11時30分から「10mois 公式 WEBSHOP」を新たなカートシステムを用いた販売サイトへ移行し再開する。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×