脆弱性が原因で決済フォーム改ざん、カード情報63件流出の可能性|株式会社ステップ



画像:弊社が運営する「ステップスポーツオンラインショップ」への不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ/株式会社ステップより

株式会社ステップは2020年3月25日、運営するオンラインショップである「ステップスポーツオンラインショップ」に対して外部からのサイバー攻撃が発生し、顧客クレジットカード情報63件に流出の可能性があると明らかにしました。

同社によると2019年12月3日、業務委託先のシステム運営会社から「同サイトの顧客カード情報の流出可能性」について通知を受けたことにより発覚。事態を把握した同社が同社第三者調査機関に調査を依頼したところ、サイト内の脆弱性を利用したペイメントアプリケーション(決済システム)の改ざんが確認され、流出の可能性が浮上しました。

サイトのカード決済システムを停止、セキュリティ改修後に再開予定

インシデントは、2019年11月29日~2019年12月3日の約4日間にかけて発生し、期間中に63件の流出可能性があるとしています。流出項目はカード名義人等4項目にわたり、直ちに不正利用が可能なデータが流出した形です。

対象となるユーザー 期間中に被害サイトでカード決済したユーザー
対象期間 2019年11月29日~2019年12月3日
対象件数 63件
対象の情報 カード名義人名・カード番号・カード有効期限・セキュリティコード

既に個人情報保護委員会への報告を済ませたほか、所轄警察当局への被害届を提出し、今後は捜査に協力する方針です。

なお、インシデントへの対応策として、被害サイトからカード決済機能を停止する決定を下しました。同社は今後、セキュリティシステムの改修を進め再開を予定していますが、記事発表時点で具体的な日付は明らかにされていません。

参照弊社が運営する「ステップスポーツオンラインショップ」への不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ/株式会社ステップ