駿河屋、8月に公表した不正アクセスで最大3.4万件のクレジットカード情報漏えいの可能性

　株式会社駿河屋は12月4日、同社が運営するECサイト「駿河屋.JP」において、8月8日に公表されていた不正アクセスに関する事案の続報を発表した。その後のフォレンジック調査の結果、クレジットカード情報3万431件と、利用者の個人情報2万9932人分が漏えいした可能性があるという。

　個人情報とクレジットカード情報が漏えいした可能性があるのは、7月23日12時50分～8月8日までに同ECサイトにおいてクレジットカード決済をした2万9932人で、対象となる情報の種類は以下。対象者にはメールまたは書状で個別に連絡するとしている。

• クレジットカード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード
• カードブランド
• 氏名
• 住所
• 郵便番号
• 電話番号
• メールアドレス
• 領収書の宛名
• 但し書き

　今回の不正アクセスの経緯を、同社は次のように説明している。8月4日に外部からの問い合わせを受けて社内調査を実施。決済ページ用のJavaScriptの改ざんを検知し、同日15時22分に修正を完了した。そして、8月8日に個人情報保護委員会への報告と警察への相談を行い、クレジットカードの決済機能を停止。その後のフォレンジック調査によって、対象サーバーへの不正アクセスの事実と侵入時刻が特定され、情報漏えいの可能性があるデータの範囲も明らかになった。

　現在、決済ページでの漏えい以外で、同社が保有する個人情報の持ち出しは確認されていないという。対象者に対しては、以下の対応を呼びかけている。

• 利用明細に不審な請求がないか確認する
• 不審な請求がある場合、カード裏面記載のカード会社へ速やかに連絡する
• アカウント保護のため、パスワード変更および2段階認証の有効化

　なお、対象者がカードを再発行する場合の手数料を、同社が負担するとしている。

　同社は、カード会社・決済代行会社と連携し、不正利用監視を実施。また、再発防止策として、改ざん検知の強化、アクセス制御と多層防御の強化、定期的な第三者診断など、技術・運用両面の対策を推進している。

　今後は、クレジットカード決済について、セキュリティ対策の実装と外部確認が完了した後に再開する予定。決定次第、改めてウェブサイト上で公表するとしている。