有限会社なごみは2024年4月22日、同社が運営するオンラインショップ「味市春香なごみオンラインショップ」にて外部からの不正アクセスが発生し、過去カード決済したユーザーのクレジットカード情報1万6,407件を含む会員1万5,274名の個人情報が漏えいし、一部不正利用された可能性があると明らかにしました。
なごみ社によれば2023年6月1日、「味市春香なごみオンラインショップ」からカード情報が漏えいしている可能性について、クレジットカード会社から連絡が入りました。なごみ社が外部専門機関に調査を依頼したところ、何者かが「味市春香なごみオンラインショップ」のシステムの一部に内在していた脆弱性を利用して不正アクセスし、ショップのペイメントアプリケーションを改ざんしていた事実が判明しました。
ペイメントアプリケーションの改ざんとは、攻撃者が何らかの手法で決済フォームに不正なスクリプトを設置して、正常な購買行動を維持しつつ、情報を盗み取ることを可能にした手口です。決済自体は正常に完了するため発覚しにくく、有効期限やセキュリティコードを盗み取れる、カード情報の非保持化サイトからも盗み取れるなど攻撃側に利点が大きく、国内において多数の被害が確認されています。
なごみ社は不正アクセス判明後、、クレジットカード会社と連携し、モニタリングなど対応に当たっています。関係機関へは報告済みで、今後は対象顧客に個別に連絡を行うとのこと。同社は今後、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図るとしています。
参照弊社が運営する「味市春香なごみオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ/有限会社なごみ