仮説社によると、同社のサイトにはセキュリティ上の脆弱性が内在しており、攻撃者がこれを利用して外部からカード情報が不正流出するよう書き換えていたとのこと。
被害は不正を検出したカード会社から通知を受けた同社が2020年7月10日に決済システムを停止したことにより止まりましたが、2019年9月3日~2020年7月10日にかけてカード情報を入力したユーザーについて、不正利用の可能性が生じたとの認識を示しています。
公開遅れは混乱避けるためか
仮説社の発表によると、同社は2020年7月10日にはカード会社から情報流出可能性の指摘を受けていたほか、2020年9月9日には第三者調査機関から脆弱性に関する報告を受けていたものと見られます。ところが、同社が被害を公表したのは2020年10月15日。カード会社より指摘を受けてから約3か月が経過した後です。一般に、クレジットカード情報など流出被害が懸念される事案は、早急に公表するのが望ましいとされています。
ただし、同社は公表が遅れた点について、この点について「正確な状況を把握する前に公表すると、いたずらに混乱を招きかねない」と説明。対応準備を整えてから公表に踏み切ったとの認識を示しています。