脆弱性利用されカード情報最大2万8,700件流出か、ハーモニック|サイバーセキュリティ.com

脆弱性利用されカード情報最大2万8,700件流出か、ハーモニック



画像:株式会社ハーモニックより引用

カタログギフト販売などを手がける株式会社ハーモニックは2022年7月13日、同社が運営するオンラインショップ「カタログギフトのハーモニック(以下:被害サイト)」にサイバー攻撃が発生し、顧客カード情報最大2万8,700件やサイト会員最大15万236名の登録情報について流出懸念を明らかにしました。

説明によると、同社は2022年2月8日に一部カード会社より情報流出に関する連絡を受け、第三者機関に調査を依頼していました。調査が完了したのは2022年4月15日のことで、原因が被害サイトに内在していた脆弱性によるものであること、また、悪意を持った第三者がこれを利用し、被害サイトの決済アプリケーションを改ざんしていた事実が判明しました。

同社が明かした調査報告によると、2020年11月14日~2021年11月11日の期間中に被害サイトにてカード決済したユーザーのカード情報最大2万8,700件について流出懸念が生じています。また、攻撃者は不正アクセス時に被害サイトの個人情報にもアクセス可能であったため、2020年11月14日までに登録されていた最大15万236名の会員情報および名入れ商品に記載された最大5,445名の個人情報について流出懸念があると判明しました。

同社の他サイトからの流出はなし

ハーモニック社は公表日以降、被害が懸念されるユーザーに個別に連絡を取り、経緯と注意を説明しています。

また、同社は公式サイトにて、流出懸念から公表に至るまで約5カ月が経過した理由として「対応準備を整えていた」と説明しています。即ち、本来なら速やかに公表すべきであるものの、対応準備が整わないまま公表し発生する混乱を避けるため、調査会社からの報告やカード会社との連携を待っていたとのことです。

なお、同社は被害サイト以外に複数のサイトを運営していますが、他のサイトからの流出は生じていないと説明しています。被害サイトではセキュリティ改修を実施する見通しで、カード決済再開日は改めて発表するとしています。

参照弊社が運営するカタログギフト販売ECサイト「カタログギフトのハーモニック」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ/株式会社ハーモニック


SNSでもご購読できます。