6月6日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

スイーツパラダイスオンラインショップ、2021年8月~12月に使われたクレジットカード情報が流出

井上商事が運営する「スイーツパラダイスオンラインショップ」が不正アクセスを受け、個人情報が流出している。2021年12月7日、一部の顧客からクレジットカード情報の漏洩を懸念する連絡があり、12月8日にはクレジットカード会社からも同様の連絡を受けた。井上商事はスイーツパラダイスオンラインショップでのクレジットカード決済を停止し、第三者機関に調査を依頼した。

調査の結果、2021年8月28日~2021年12月8日の期間にスイーツパラダイスオンラインショップで商品を購入した顧客のクレジットカード情報が流出していたことが判明。原因は、システムの一部の脆弱性をついたペイメントアプリケーションの改ざんだった。情報流出件数は7,645件で、情報の詳細はクレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード。

井上商事は該当する顧客に電子メールで個別に連絡するとともに、クレジットカード会社と連携してクレジットカードによる取引のモニタリングを継続して実施。顧客にも、クレジットカードの利用明細書に不審な請求項目がないかを確認するよう呼びかけている。

今後はシステムのセキュリティ対策と監視体制を強化し再発防止に取り組む。スイーツパラダイスオンラインショップの再開日は、決定しだいWebサイト上で告知する。

「東京シャツ公式オーダーサイト」で不正アクセスによる個人情報流出

東京シャツが運営する「東京シャツ公式オーダーサイト」が不正アクセスと受け、クレジットカード情報などが流出している。2022年3月1日に一部のクレジットカード会社から連絡を受け、情報流出が発覚した。同日、東京シャツ公式オーダーサイトでのカード決済と公開を停止している。第三者機関の調査によると、2019年4月2日から2022年3月8日の期間に、商品を購入した顧客のクレジットカード情報が流出。一部は不正利用の可能性もあるという。

不正アクセスの原因は、システムの一部の脆弱性をついたWebアプリの改ざんによるもの。クレジットカード情報を入力して決済した顧客の情報1,114件(991名分)が流出した。流出情報の詳細は、クレジットカードの名義人名、クレジットカード番号、有効期限、セキュリティコード、IPアドレス、氏名、性別、住所、電話番号、メールアドレス。

また、2019年4月2日から2019年5月26日の期間に会員登録をしたが、クレジットカード決済をしていない人(33名)の情報も流出。流出情報の詳細は、氏名、性別、住所、電話番号、メールアドレス。

東京シャツの実店舗で2021年10月1日~2022年3月8日の期間に、タブレットを使ってオーダーシャツを注文していた場合も対象で、1,194名が該当する。詳細は、氏名、生年月日、性別、住所、電話番号、メールアドレス。

同社は、顧客に対してクレジットカードの利用明細に身に覚えのない請求項目がないか確認するよう呼びかけている。再発防止策として、システムのセキュリティ対策、および監視体制を強化するとしている。

誠和の関連ホームページやオンラインショップに不正アクセス

誠和が運営する「誠和ホームページ」「誠和オンラインショップ」「新時代農業塾」が不正アクセスを受け、個人情報が流出している。不正アクセスは、システムに対する第三者によるファイル改ざんによるもの。サーバー上のデータに加え、サーバー上に残らないデータも書き出すよう不正プログラムが組み込まれていた。

不正アクセスの経緯は、2021年12月8日にサーバーに対してセキュリティ自己診断を実施したところ、悪意のあるソフトウェアを発見。該当ファイルを削除した。2021年12月17日には、決済機能を持つ「誠和オンラインショップ」「新時代農業塾」のサイトを閉鎖して社内調査をしたものの、不正アクセスの痕跡は発見できなかった。

しかし2022年2月1日、「誠和オンラインショップ」を2021年10月26日に利用した同社の社員が、カード会員情報の不正利用があったことを報告。2022年2月19日には、過去に「誠和オンラインショップ」を利用した同社社員からもカード会員情報の不正利用の報告を受けた。ほかの社員へもヒアリングを行ったところ、複数の不正利用があったという。

2022年3月11日には、第三者機関に調査を依頼。調査の結果、2013年1月23日~2022年2月7日の期間に、顧客の個人情報を含んだ取引情報の流出が判明した。重複を除くと、総流出件数は5,548件となる。また、2020年5月1日~2021年12月17日の期間中に使われたクレジットカード情報も流出。重複を除いた総流出件数は423件。詳細は以下の通り。

■流出した個人情報
・誠和ホームページ:3,705件
・誠和オンラインショップ:5,819件
・新時代農業塾:9,657件
・詳細:氏名、会社名、住所、メールアドレス、パスワード、電話番号、FAX番号、誕生日、性別(一部配送先を含む)

■流出したクレジットカード情報
・誠和オンラインショップ:209件
・新時代農業塾:238件
・詳細:カード名義人名、クレジットカード番号、有効期限、セキュリティコード

誠和は該当する顧客に対し電子メールおよび書状で連絡を取りつつ、クレジットカード会社と連携してクレジットカードによる取引のモニタリングを継続して実施。顧客には、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。なお、「誠和ホームページ」はセキュリティ対策と監視体制を強化し4月25日にリニューアル。「誠和オンラインショップ」「新時代農業塾」の再開日は、決定しだい告知するとしている。

一部管理ホールのWebサイトが改ざん被害

共立が管理するホールのWebサイトが第三者の不正アクセスを受け、Webページの改ざん被害が発生している。

改ざん内容は、Webサイトにアクセスすると不正サイトへの誘導が行われるというもの。発覚後にサーバーを停止し原因などの調査を行い、復旧に向けて作業を進めている。これらのサイトでは個人情報は取り扱っておらず、情報流出の被害はない。改ざん被害に遭ったサイトは以下の通り。

  • 立川市市民会館
  • 八王子市民会館
  • 新宿区四谷区民ホール
  • 新宿区牛込箪笥区民ホール
  • 新宿区角筈区民ホール
  • 上用賀アートホール
  • 刈谷市総合文化センター
  • 名古屋市公会堂
  • 名古屋市民会館
  • 平塚文化芸術ホール
  • 横浜市瀬谷公会堂
  • 瀬谷区民文化センター
  • 戸塚区民文化センター
  • 明石市民会館等
  • 東大阪市文化創造館