IT関連製品を販売する「ホットストラップ」(https://hotstrap.jp/)を運営するユー・アンド・アース株式会社(東京都)は8日、同サイトが外部からの不正アクセスを受け、最大で690名分のクレジットカード情報および1,506名分の個人情報が流出した可能性があると発表した。警視庁からの連絡と第三者機関による調査結果を受けて明らかになったもので、被害の深刻さにより同社は「厳粛に受け止め、深くお詫び申し上げる」と謝罪した。
発表によると、2021年2月27日から2024年6月27日までの約3年間にわたり、「ホットストラップ」の即納品ショップを利用した顧客のうち、690名のクレジットカード名義・番号・有効期限・セキュリティコードに加え、サイトのログインID・パスワードなどが漏洩した可能性がある。また、2024年7月12日までに同サイトへ登録された顧客の氏名、住所、電話番号、メールアドレス、生年月日、注文履歴なども対象となった。
カード情報を含む重大な漏洩の経緯について、同社は「保有していなかったカード情報が、決済システムの脆弱性を突いた第三者による不正改ざんにより外部へ流出した」と説明。加えて、今回の漏洩により一部カードが不正利用された可能性も認めている。
警視庁から最初に連絡があったのは2024年6月6日。同月27日にはカード決済機能を停止し、調査会社によるフォレンジック(証拠保全)調査が開始された。最終報告は2024年9月19日にまとまり、今年4月10日の公表に至った。
同社では該当者に対し電子メールもしくは書状で個別に連絡するとしており、「不正利用の兆候がある場合はカード会社に直ちに連絡を」と呼びかけている。カードの再発行については、手数料を同社側で負担するようカード会社に依頼しているという。
また、ログインパスワードの漏洩対象者には再発行ページの案内がされており、他サイトと同一のパスワードを使っている場合には変更を促している。不審なメールや電話に対する注意喚起も同時に行われた。
クレジットカード決済の再開時期は未定だが、「セキュリティ体制の強化と監視体制の整備を進めている」とし、あらためて再開日は同サイト上で通知される見込み。なお、同件はすでに個人情報保護委員会および警視庁に通報済みで、今後は捜査にも全面的に協力するという。
問い合わせ窓口は「ホットストラップ お客様相談窓口」(電話050-6865-7751、メール fusei@youandearth.com)。4月12日、13日の週末も臨時対応を行うとのことだ。
通販サイトを巡るセキュリティ問題は、企業側の説明責任と再発防止策の具体性が問われる時代に入っており、今回のような長期にわたる漏洩は、信頼回復に時間を要する可能性が高い。過去には不正アクセスによる個人情報流出が原因で創業80年の老舗和菓子屋が破産する事案も発生している。 #事業 #ビジネス #ニュース
コメント