イオンスポーツ運営サイトからカード情報983件流出の可能性、決済フォーム改ざんか



画像:イオンスポーツより

株式会社イオンスポーツは2019年11月14日、同社が運営するオンラインサイト「ゼロフィット公式オンラインショップ」が何者かの不正アクセスを受けたことにより、顧客クレジットカード情報983件に流出の可能性が生じていると明らかにしました。

同社が実施した調査によると、サイトには以前からシステム的な脆弱性が内在しており、これを発見した攻撃者に悪用された可能性があるとのこと。サイト内の決済フローの一部が情報流出を引き起こすよう改ざんされた痕跡も発見され、カード情報目当ての犯行であったと見られています。

原因はシステムの脆弱性か

インシデントは2019年7月16日、カード会社から「同サイトからのカード情報流出に対する懸念」通知が入り発覚しました。

同社は発覚後すぐにカード決済機能を停止し、セキュリティ対策を進めましたが、攻撃により2015年1月1日~2018年7月24日の期間中にサイト上でクレジットカード取引した顧客について、情報流出の可能性が生じているとのことです。

なお、被害発生から発表までの間に4か月近く経過していますが、同社はこれについて「混乱を避けるため、必要な対応準備を整えてからの発表」と判断したと説明しています。

被害状況は下記の通りです。

対象者 不正アクセスの期間中にカード決済した利用者
期間 2015年1月1日~2018年7月24日
件数 983件
内訳 カード名義人名
クレジットカード番号
有効期限

参照【重要】弊社が運営する「ゼロフィット公式オンラインショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ/株式会社 イオンスポーツ