コスメ通販サイトが不正アクセス被害、カード情報203件に流出の可能性



画像:弊社が運営する「Naturas Psychos Product」への不正アクセスによる個人情報流出に関するお詫びとお知らせ/株式会社ハーバルインデックスより

株式会社ハーバルインデックスは2019年9月17日、同社が運営するオーガニックコスメ通販サイト「Naturas Psychos Product」に何者かの不正アクセスが発生し、クレジットカード情報203件に流出の可能性があると明らかにしました。

同社によると2019年1月26日、警察組織からクレジットカード情報の流出可能性について指摘を受け、専門会社による調査を開始。2019年4月22日に完了した調査結果報告から、システム内部に脆弱性が内在しており、これを利用した決済システムの改ざんによる流出の可能性が浮上したとしています。

偽の決済画面に誘導して情報を盗み出す

株式会社ハーバルインデックスが受けたサイバー攻撃は、偽の決済画面を設置し、個人情報を盗み取る「フォームジャッキング」という手口です。

正規サイトの決済画面(クレジットカード情報などを入力する画面)とほとんど同じ偽ページを作り出して、「いつものページだ」と誤解した顧客からカード情報を盗み取ってしまうという流れになります。

ハーバル社によるとインシデントは2018年12月11日~2019年1月26日の期間中に発生し、カード情報が盗み取られたものと見られています。なお、同社が発表した被害情報は下記の通りです。

対象となるユーザー 期間中に「Naturas Psychos Product」においてクレジットカード決済をされた顧客
対象期間 2018年12月11日~2019年1月26日
対象件数 最大203件
対象の情報内訳 カード名義人・カード番号・カード有効期限・セキュリティコード

参照弊社が運営する「Naturas Psychos Product」への不正アクセスによる個人情報流出に関するお詫びとお知らせ/株式会社ハーバルインデックス