画像:株式会社スピックより引用
サプリメント通販会社の株式会社スピックは2021年9月29日、同社が運営するサプリメント通販サイト「リポカプセルビタミンC公式通販サイト」に対する外部からのサイバー攻撃が発生し、過去同社サイトへのログイン時に情報を入力したユーザー1万5,674名の情報(アドレス・パスワード等)および過去同社サイトでクレジットカード決済したユーザー9,515名のクレジットカード情報が流出した可能性があると明らかにしました。
株式会社スピックによれば同社は2021年2月16日、セキュリティ強化を委託している企業から「個人情報流出の可能性」について指摘を受けました。対応のためにサイトのカード決済機能を停止し原因となるファイルを削除した上で、第三者調査機関を通じた調査を開始したところ、「リポカプセルビタミンC公式通販サイト」に内在していた脆弱性を利用して、何者かがサーバー内部に侵入していた形跡が判明。攻撃者は情報を抜き取るため、手を加えていた可能性があるとしています。
なお、スピック社によれば、第三者調査機関によるログ調査から不正アクセスの事実は判明したものの、流出件数の特定には至っていません。このため、同社はサイトへのログインデータや出荷データに紐づく決済方法記録等などから被害を割り出し、対象者に個別連絡を取り対応を進めている状況です。
カートシステムをリニューアルし対応
株式会社スピックは「リポカプセルビタミンC公式通販サイト」への不正アクセスを受け、通販サイトのカートシステムを閉鎖しシステム自体が異なる仕様へのリニューアル対応を取りました。
同社は2021年2月の情報流出懸念時から公開までの間に約6か月以上が経過した理由として、対応準備を整えていたと説明しています。本来ならば速やかに公表すべきであるものの、情報不確定な段階で事実を公表し混乱を招くよりも、被害を食い止める対応を整えてからの公表が望ましいと判断したとのことです。
対象となるユーザー | 対象期間 | 対象件数 | 対象の情報内訳 |
---|---|---|---|
期間中にログイン時に会員情報の入力したユーザー、期間中に被害サイトでカード情報を入力したユーザー | 2020年11月6日~2021年2月24日 | 15,674名(クレジットカード決済9,515名) | ・メールアドレス・パスワード・カード名義人名・カード番号・カード有効期限・セキュリティコード |
参照弊社が運営する「リポカプセルビタミンC公式通販サイト」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ/株式会社スピック