不正アクセスでクレカ情報23件が流出、会員情報最大4,921件も漏洩の可能性



酒類の定期購入サービスなどを提供するリカー・イノベーションは2019年7月29日、同社が運営するECサイト「KURAND CLUB」が外部からの不正アクセスを受けていたと明らかにしました。

同社が外部調査機関に依頼し調査を進めたところ、システム内に脆弱性があり、決済フォームが改ざんされる被害が生じたとのこと。これにより、「KURAND CLUB」利用者のクレジットカード情報23件が流出したほか、会員情報最大4,921件に流出の危険性が生じたと説明しています。

事案の経緯は?

リカーイノベーションによると2019年3月14日、警視庁からカード情報流出の懸念について通知を受け、インシデント被害の可能性が浮上しました。

同社は同日中に対策本部を設置し、「KURAND」のサービスを停止するなどの素早い措置を実施し、第三者調査機関にインシデントの調査を依頼。調査は2019年4月22日に完了し、不正アクセスの痕跡及び被害状況が確定した形です。

なお、同社はその後、個人情報保護委員会や警察への被害届を提出。2019年7月29日、カード情報以外の顧客に向けて、個別に連絡を進めたとしています。

流出の経緯や被害規模

リカーイノベーションによると、インシデントによりクレジットカード情報23件が流出し、個人情報最大4,921件にも閲覧・流出の可能性が生じています。

流出情報の内訳は下記の通りです。

対象となるユーザー 期間中にサイトでクレジットカード決済を試みた顧客
対象期間 2019年3月11日~2019年3月14日
対象件数 23件
対象の情報内訳 カード会員名、カード番号、カード有効期限およびセキュリティコード

流出した可能性のあるその他の個人情報

対象となるユーザー 期間中に会員登録をしていた顧客
対象期間 2019年3月11日~2019年3月14日
対象件数 最大4,921件
対象の情報内訳 氏名、住所、連絡先および購買履歴

参照リカー・イノベーションが提供する日本酒定期購入サービス「KURAND CLUB」サイトへの不正アクセスによる、お客様情報流出のお詫びとご報告