通販サイトの決済フォーム改ざんで合計4,098件のカード情報流出か│ペットハグ



画像:弊社が運営する「ペットハグサイト」への不正アクセスによる個人情報流出に関するお詫びとお知らせ/株式会社ペットハグより

オンライン通販サイト「ペットハグサイト」は2020年1月15日、カード情報入力フォームが改ざんされるなど、複数の手口によるサイバー攻撃を受け、顧客クレジットカード情報4,098件について、流出した可能性があると発表しました。

2019年5月7日、決済代行会社を通じてカード会社より、運営会社の株式会社ペットハグに向けたセキュリティ上の指摘があり、サイバー攻撃による流出の可能性が発覚。サイトからカード決済機能を停止し、外部調査会社に調査を依頼したところ、サイトシステムの一部の脆弱性を利用した不正アクセスの痕跡が見つかったと説明しています。

カード決済は現在停止、セキュリティ対策後に再開の見通し

ペットハグ社を襲ったサイバー攻撃は、決済フォームを改ざんし情報を流出するものと、偽の決済フォームを設置し入力情報を盗み取る2種類です。

1回目の決済フォームの改ざんは2018年6月28日から2019年5月7日にかけて発生し、期間中にカード決済したユーザー4,011件について、被害可能性が生じています。2回目の偽の決済フォームへの誘導は2019年5月18日~2019年5月20日の期間中に発生し、誘導により入力したユーザー87件について、流出の可能性が生じました。

インシデントに直面しペットハグ社は、今後はセキュリティ対策を進めた上で、再開予定日を発表する方針を示しています。再開日は後日、改めて発表するとのことです。

今回の流出に伴う被害および経緯は、次の通りです。

2019年5月7日 決済代行会社からペットハグ社に不正利用に関する通知
2019年5月7日 サイトのカード決済機能を停止
2019年6月19日 第三者機関による調査報告
2019年6月19日 警察当局に通報
2019年6月20日 個人情報保護委員会に報告
2020年1月15日 ホームページで事案を公表

不正アクセス被害の内訳

対象 モジュール改ざんによる被害 偽の決済フォームによる被害
期間 2018年6月28日~2019年5月7日 2019年5月18日~2019年5月20日
件数 4,011件 87件
内訳 ・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティーコード

参照弊社が運営する「ペットハグサイト」への不正アクセスによる個人情報流出に関するお詫びとお知らせ/株式会社ペットハグ