アパレル資材・服飾資材の法人向けECサイトに不正アクセス、カード情報が流出

株式会社デザインXは3月29日、同社が運営するアパレル資材・服飾資材の法人向けECサイト「ApparelX」に第三者からの不正アクセスがあり、顧客のクレジットカード情報が漏えいした可能性が判明したと発表した。改ざんの検知から発表まで110日間を要している。

これは2020年12月9日に、同社ITチームが決済ページ上でファイルの改ざんを検知、同日中に同社サービスのファイルアップロード機能の脆弱性を突いてサーバに設置された攻撃ファイルを削除したが、当該ファイルは決済ページ上のクレジットカード入力フォームを偽装することで決済時に入力されるカード情報を外部サイトに転送し、窃取するものであった。同社では2020年12月16日にカード決済を停止、第三者調査機関による調査を行ったところ、同サイトで決済した顧客のカード情報漏えいと一部顧客のカード情報の不正利用を2021年3月8日に受領した調査結果で確認した。

流出した可能性があるのは、2020年11月27日から2020年12月9日の期間中に「ApparelX」においてクレジットカード決済を利用した顧客195名のカード情報（番号、有効期限、セキュリティコード）。その他、当該注文の出荷先名、出荷先メールアドレス、出荷先住所、出荷先電話番号も漏えいした可能性がある。

同社では対象の顧客に対し、別途メールにて個別に連絡を行う。

同社では既に、カード会社と連携し流出した可能性のあるカードによる取引のモニタリングを継続して実施し不正利用の防止に努めているが、顧客に対してもカードの利用明細に身に覚えのない請求項目がないか確認するよう注意を呼びかけている。

同社では2020年12月10日に所轄警察署に被害申告を、2021年3月16日に監督官庁である個人情報保護委員会に報告を行っている。

同社では今後、調査結果を踏まえながらシステムのセキュリティ対策および監視体制の強化を行い再発防止に努めるとのこと。