伊織ネットショップへの不正アクセスによる
クレジットカード情報流出被害のご報告とお詫び
このたび、弊社が運営しております「伊織ネットショップ」におきまして、外部からの不正アクセスがあり、一部のお客様のクレジットカード情報が流出した可能性があることが判明しました。
お客様をはじめ、関係者の皆様方には多大なご迷惑とご心配をおかけする事態になりましたことを深くお詫び申し上げます。
なお、この件で個人情報が流出した可能性にあるお客様には、インシデント発生時にメールおよび電話にてご報告いたしておりますが、第三者機関による詳細な調査結果を踏まえ、改めてご報告と、HPでの公開をさせていただきました。
弊社は、今回の事態を厳粛に受け止め、今後、再発防止のための安全対策を徹底してまいります。お客様をはじめ関係者の方々には重ねてお詫びを申し上げますとともに、今回の事故の経緯と内容および対策につきまして、下記のとおり対応しておりますので、ご報告いたします。
1.経緯
2018年8月22日夕方、弊社サイトにおいてフィッシングサイト(偽のクレジットカード番号の入力画面)へジャンプする事象が確認され、同日「伊織ネットショップ」でのクレジットカード決済を停止いたしました。また、速やかに第三者機関による調査も開始いたしました。
調査結果により、2018年5月8日~8月22日の期間中に「伊織ネットショップ」で購入されたお客様のクレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上が証跡ある確かな情報として確認できたため、本日の発表に至りました。
2.個人情報流出状況
(1)原因
弊社が運営する「伊織ネットショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス。インシデント発生時のアクセスログにて2018年8月19日午後に、第三者による侵入と、一部のページを改ざんされた履歴を確認。
(2)個人情報流出の可能性があるお客様
偽のカード番号入力画面からの移入ログが確認できた、2018年8月19日16時19分から、カード決済を停止した2018年8月22日18時37分の期間中に「伊織ネットショップ」においてご注文をされたお客様については、非常に高い確率で漏洩した可能性がございます。(別紙参照)
また、改ざんされたファイルに残された日付が2018年5月8日であったことから、2018年5月8日から2018年8月19日までに「伊織ネットショップ」をご利用されたお客様についても、カード情報が漏洩した可能性が完全には否定できないとの判断をいたしました。
理由として、2018年6月10日及び2018年7月31日に残したバックアップファイルでは改ざんは認められませんでしたが、サーバーのアクセスログに2018年5月8日の記録がすでに残っておらず、問題がないと断定できなかったためです。よって、日本クレジット協会のガイダンスに従い、リスクとして考えられうる最大範囲で日付を指定いたしました。
【流出した可能性のある情報】
・カード会員名
・クレジットカード番号
・有効期限
・セキュリティコード
上記期間(2018年5月8日~8月22日)に該当する延べ2,145名のお客様については、電子メールにて個別にご報告いたします。
- 情報公開について
2018年8月22日不正アクセスを確認した時点で、「伊織ネットショップ」でのクレジットカード決済を停止いたしました。正確な状況を把握しない段階で公表することは、却って混乱を招くこととなることから、第三者調査機関の調査完了をもって報告する事とさせていただきました。本調査に時間を要し、情報公開が遅れた事につきましても、深くお詫び申し上げます。
4.お客様へのお願い
弊社及び決済代行会社では、クレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですがクレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けすることのないよう、弊社よりクレジットカード会社に手配いたしました。また、その際には、クレジットカード番号の変更手続き等ご面倒をお掛けする事となりますが、予めご了承ください。なお、今回の件について、当店から個々のお客様にご連絡しクレジットカード番号をお聞きすることは、一切ございません。
5再発防止策ならびにクレジットカード決済の再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。「伊織ネットショップ」でのクレジットカード決済の再開日につきましては、決定次第、改めてホームページ上にてお知らせいたします。
また、今回の事故につきまして、警察署には発生翌日の2018年8月23日に報告し、今後の捜査にも全面的に協力してまいる所存です。あわせて個人情報保護委員会には、調査終了後の2018年10月23日に報告いたしました。
6.本件に関するお問い合わせ窓口
≪伊織ネットショップ お客様相談窓口≫
・電話番号:フリーダイヤル0120-14-2020
・受付時間:10:00~18:00
・営業日 :月曜日~金曜日、祝日(土曜・日曜を除く)
・メールアドレス:contact@i-ori.jp
お電話がつながりにくい場合はこちらの質問集もご覧ください。
