画像:志布志市より引用
鹿児島県志布志市(しぶしし)は2023年6月22日、市が運営する「志布志市ふるさと納税特設サイト(以下:被害サイト)」が何者かの不正アクセスを受け、過去被害サイトにてクレジットカード決済した一部ユーザーのカード情報910件が流出した可能性があると明らかにしました。
志布志市によると2023年4月6日、一部のクレジットカード会社からユーザーのクレジットカード情報が流出している可能性について連絡がありました。事実関係を把握するため、志布志市が外部専門機関に調査を依頼したところ、何者かが被害サイトのシステムに内在する脆弱性を利用して、クロスサイトスクリプティングと呼ばれるサイバー攻撃を仕掛けている事実が判明しました。
サイバー攻撃の犯人はクレジットカード情報の窃取を目的にしていたものと見られています。市が明らかにしたところによると、攻撃者はクレジットカード決済実行時において処理される情報を盗み取るため、プログラムを埋め込んでいたとのこと。影響が懸念されるのは2021年3月12日~2021年12月29日に利用された910件のカード情報で、カード番号、有効期限、セキュリティコードのほかアカウントメールアドレスがパスワードも流出した可能性が生じています。
志布志市は現在、さらなる詳細を明らかにすべく調査を継続しています。結果は後日公表予定で、今後はセキュリティ管理体制の見直しや外部委託事業者選定や監督の基準変更、脆弱性対策およびセキュリティ強化施策により再発防止に努めるとしています。
参照本市が運営する「志布志市ふるさと納税特設サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ/志布志市