画像:イオンスポーツより
株式会社イオンスポーツは2019年11月14日、同社が運営するオンラインサイト「ゼロフィット公式オンラインショップ」が何者かの不正アクセスを受けたことにより、顧客クレジットカード情報983件に流出の可能性が生じていると明らかにしました。
同社が実施した調査によると、サイトには以前からシステム的な脆弱性が内在しており、これを発見した攻撃者に悪用された可能性があるとのこと。サイト内の決済フローの一部が情報流出を引き起こすよう改ざんされた痕跡も発見され、カード情報目当ての犯行であったと見られています。
原因はシステムの脆弱性か
インシデントは2019年7月16日、カード会社から「同サイトからのカード情報流出に対する懸念」通知が入り発覚しました。
同社は発覚後すぐにカード決済機能を停止し、セキュリティ対策を進めましたが、攻撃により2015年1月1日~2018年7月24日の期間中にサイト上でクレジットカード取引した顧客について、情報流出の可能性が生じているとのことです。
なお、被害発生から発表までの間に4か月近く経過していますが、同社はこれについて「混乱を避けるため、必要な対応準備を整えてからの発表」と判断したと説明しています。
被害状況は下記の通りです。
対象者 | 不正アクセスの期間中にカード決済した利用者 |
---|---|
期間 | 2015年1月1日~2018年7月24日 |
件数 | 983件 |
内訳 | カード名義人名 クレジットカード番号 有効期限 |
参照【重要】弊社が運営する「ゼロフィット公式オンラインショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ/株式会社 イオンスポーツ