画像：城山観光ホテルHPより引用

11月29日、「城山観光ホテル」を経営する城山観光株式会社は、同社が運営する公式ウェブサイトが外部からの不正アクセスによる攻撃を受け、個人情報が流出した可能性があることを発表しました。

同社の発表によると流出した情報は合計234件であり、カード情報が含まれている可能性があるとのこと。また、同社はは警察や決済会社と連携して対応にあたっており、被害を受けた顧客に対して注意を呼び掛けています。

事件の経緯は？

事件のきっかけは2017年10月4日。カード決済代行会社より情報流出の懸念がある通達を受けた事に起因します。

通達を受けた同社は直ちにオンラインショップの決済利用を停止。その後、第三者機関との連携調査の途上にて、Webアプリケーションの一部に脆弱性が浮上。攻撃者はこの脆弱性を利用して不正アクセスを行ったものと見られています。

流出した情報は？

今回の不正アクセス事件で流出した情報は、2017年7月25日～10月4日の間に、同社ウェブサイトにて、パンやジャム、アメニティなどの決済を行った顧客が対象です。総数は冒頭にて申し上げた通り最大で234件。

なお、流出した情報は以下の通りです。

• クレジットカード番号
• カード有効期限
• セキュリティコード

同社は今回のサイバー攻撃を受け、不正アクセス監視体制の強化を表明。カード情報を保有しない決済システムの導入など、複数の対策を実施する予定とのことです。

〈参照〉
「城山観光ホテル　オンラインショップ」における不正アクセスによるお客様情報流出懸念のご報告とお詫び/城山観光株式会社(PDF)