和装小物等のECサイトに不正アクセス、カード情報941件が流出の可能性

株式会社龍村美術織物は3月11日、同社が運営する「龍村美術織物オンラインショップ」に第三者からの不正アクセスがあり、顧客のクレジットカード情報が漏えいした可能性が判明したと発表した。

これは2020年10月28日に、決済代行会社から「龍村美術織物オンラインショップ（https://www.tatsumura.co.jp/shop-jp/）」を利用した顧客のカード情報の漏えい懸念について同社に連絡があり、同日中にカード決済を停止し、社内調査と第三者の専門調査会社による調査を行ったところ、当該サイトのシステムの一部脆弱性を突いた第三者の不正アクセスによって決済モジュールの改ざんが行われたことが原因で、利用者のカード情報が漏えいした可能性を12月25日に完了した専門調査会社の調査結果で確認したというもの。

漏えいしたのは2019年11月25日から2020年10月28日の期間中に「龍村美術織物オンラインショップ」でカード決済を利用した顧客のうち941名のカード情報（名義、番号、有効期限、セキュリティコード）と、会員登録をしている顧客の内、同期間に購入手続きを行った顧客793名の会員情報（ログインID、パスワード）。

同社では3月11日から、カード情報流出の可能性がある顧客と会員情報流出の可能性がある顧客に対し、謝罪と注意喚起の案内をメールにて行う。

同社では既に、流出した可能性のあるカードによる取引のモニタリング強化をカード会社に依頼しているが、顧客に対してもカードの利用明細に身に覚えのない請求項目があった場合はカード会社に問い合わせるよう呼びかけている。

同社では2020年12月18日に個人情報保護委員会に報告を、12月23日に所轄警察署である京都府警察右京警察署に報告を行った。

同社では2020年12月9日に、第三者の専門調査会社の指摘により、情報流出の原因である不正プログラムを除去済みで、現在設定している顧客のログインID、パスワードについては2020年10月28日以降、オンラインショップを外部から遮断し、アクセスが出来ない状態を保持している。

同社では再発防止策として、決済方式の変更を含めセキュリティレベルの高いサイトへの再構築、システムの脆弱性診断を定期的に実施しセキュリティ対策を強化、脆弱性対策として必要なプログラムの修正や適切な対処を実施し、監視体制を強化しサイト運用を行うとのこと。