サイト改ざんで顧客のカード情報2,145件流出の可能性、サーバーの脆弱性が原因か|株式会社伊織



画像:今治タオル取扱店「伊織」より

今治タオルなどを扱う「伊織ネットショップ」は2018年10月24日、不正アクセスによりウェブサイトの決済画面が改ざんされたことを明らかにしました。

運営元の株式会社伊織によると、不正アクセスにより最大2,145名分のクレジットカード情報が流出した懸念があるとのこと。調査ではサーバーに脆弱性が発見されており、これが原因で改ざん被害が生じたとしています。

決済画面改ざんで不正窃取か

株式会社伊織の発表によると、攻撃者は2018年8月19日の午後に同社ネットショップのサーバーに侵入し、改ざんを行ったとのこと。

攻撃者は侵入後に「伊織ネットショップ」の購入フローに手を加え、ユーザーが支払い方法を選択した際に、正規のものと類似した偽の決済画面を表示するよう改ざんを実施。誤ったサイトに気付かず入力されたカード情報を、不正に取得していたとしています。

なお事態を把握した同社は2018年8月22日に、オンラインショップにおけるカード決済の停止を決定。第三者調査機関への調査を依頼するとともに、警察署や個人情報保護委員会への連絡も行っています。

流出リスク濃厚のカード情報

株式会社伊織は今回の事案につき、最大で2,145名分のカード情報に、流出の懸念があるとしています。

ただし同社はこのうち、攻撃者が改ざんを行っていた2018年8月19日~2018年8月22日の間にカード情報を入力してしまったユーザーについて、「非常に高い確率で流出した可能性」があることも発表。影響を受けた顧客に向けて電子メールで個別に報告を行い、被害発生の防止に努める考えです。

参照【重要】クレジットカード情報流出についてのお知らせ(伊織ネットショップ)