画像：株式会社かわたより引用

株式会社かわたは2022年1月17日、同社が運営するオンラインショップ「ココシーズンオンラインショップ（被害サイト）」が何者かの不正アクセスを受けたことにより、過去被害サイトでカード決済したユーザーのクレジットカード情報350件が流出した可能性があると明らかにしました。

発表によると、かわた社は2021年9月3日、顧客が使用するクレジットカード会社より「カード情報が流出した可能性がある」と指摘を受け、第三者調査機関に被害サイトの調査を依頼したとのこと。

その後、2021年9月28日に完了した調査報告から、何者かが被害サイトに内在する脆弱性を利用して被害サイトの決済システムを改ざんし、顧客が入力したカード情報を盗み取っていた可能性が明らかになりました。

対応準備整え公表遅れる

株式会社かわたによれば、同社は現在、被害が想定される顧客に対して電子メールおよび書状で連絡を取り、謝罪と不正利用への注意を促しています。

とはいえ、同社は2021年9月3日時点で情報流出の懸念を把握しており、また、第三者調査機関による事実関係報告も2021年9月28日時点で受けているため、事実公表までに約4カ月が経過した形です。

かわた社は公表の遅れに対して「対応準備を整えてからの告知が不可欠であると判断した」と説明しています。すなわち、本来なら速やかな公表すべきであるものの、対応準備が整わないまま公表すると混乱が生じかねず、カード会社など関係機関との連携を取ってからの公表を判断したとしています。

なお、同社によると流出懸念が生じている情報は次の通りです。

対象となるユーザー	対象期間	対象件数	対象の情報内訳
期間中に被害サイトでカード決済したユーザー	2021年3月26日～2021年8月19日	350件	カード名義人名・カード番号・カード有効期限・セキュリティコード

参照弊社が運営する「ココシーズンズオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ/株式会社かわた