東京土産のECサイトに不正アクセス、カード情報6.5万件が漏えいの可能性
東京玉子本舗の自社ECサイトが不正アクセスを受け、クレジットカード情報や個人情報が漏えいした可能性があることが公表された。
6万5387件の顧客のクレジットカード情報が漏えいし、7万3961件の個人情報も漏れた可能性がある。
被害を受けた日時や改善策などが明らかにされ、再発防止の取り組みも行われている。
菓子の製造・販売を手がける東京玉子本舗は7月31日、自社ECサイト「東京玉子本舗公式オンラインショップ」が第三者による不正アクセスを受け、クレジットカード情報および個人情報が漏えいした可能性があると公表した。
カード情報が漏えいした可能性があるのは、2021年3月18日~2024年5月28日の期間、「東京玉子本舗公式オンラインショップ」でクレジットカード決済をした6万5387件。カード名義人名・クレジットカード番号・有効期限・セキュリティコードが漏えいした可能性がある。
また、自社ECサイトがオープンした2019年4月22日~2024年5月28日までに「東京玉子本舗公式オンラインショップ」を利用した7万3961件について、氏名・住所・メールアドレス・電話番号が外部に漏れた恐れがある。
システムの一部の脆弱(ぜいじゃく)性を突いた第三者の不正アクセスにより、ペイメントアプリケーションが改ざん。クレジットカード情報はサーバに保存しない仕様だったが、第三者による不正アクセスで保存されるよう改変されていた。
東京玉子本舗によると5月28日、警視庁から自社ECサイトの一部が不正に改ざんされている可能性があり、顧客のクレジットカード情報および個人情報が漏えいしている懸念があるとの連絡を受けた。同日、自社ECサイトでのカード決済を停止し、6月8日にはサイトを閉鎖した。
第三者調査機関による調査も着手し、6月20日には調査機関による調査が完了。その結果、2021年3月18日~2024年5月28日の期間に「東京玉子本舗公式オンラインショップ」で商品を購入した顧客のクレジットカード情報、2019年4月22日から2024年5月28日までに登録した個人情報に漏えいの可能性があることを確認した。
東京玉子本舗は再発防止策として、調査結果を踏まえたシステムのセキュリティ対策および監視体制を強化。システム改修後の「東京玉子本舗公式オンラインショップ」の再開日は決定次第、Webサイト上で告知する。
