2021/07/13

通販サイトでクレカ情報流出、システム刷新後に被害判明 - コスモス薬品(転載)~想定損害賠償額は6.6億円程度か~


[PDF] 弊社が運営する「コスモスオンラインストア」への不正アクセスによるお客様情報流出に関するお詫びとお知らせ 株式会社コスモス薬品 2021年7月12日 cosmospc.co.jp/notice/upload/…

ドラッグストアをチェーン展開するコスモス薬品の通信販売サイトが不正アクセスを受け、顧客のクレジットカード情報が外部に流出した可能性があることがわかった。同社では4月にシステムを変更したが、5月に入ってクレジットカード会社より指摘があり、旧システムにおける情報流出が判明したという。

同社によれば、「コスモスオンラインストア」において、2020年2月7日から2021年4月22日にかけて顧客が決済に利用したクレジットカード情報が外部へ流出し、不正に利用された可能性があることが判明したもの。対象となるクレジットカードは2万5484件で、名義、番号、有効期限、セキュリティコードなどを窃取されたおそれがある。

5月12日に情報流出の可能性についてクレジットカード会社から指摘があり問題が判明、調査を実施したという。同サイトでは、4月23日にシステムを変更したばかりで、4月22日以前に運用していた旧システムにおいて脆弱性が突かれ、不正なファイルを設置されていた。システムを変更した4月23日以降については情報流出は確認されていないと説明している。

外部事業者による調査は6月9日に完了、6月14日に警察へ届けた。個人情報保護委員会に対しては7月2日に報告を行っている。対象となる顧客には、7月12日よりメールで経緯の説明や謝罪を行っており、身に覚えのない請求などが行われていないか確認するよう呼びかけた。

「コスモスオンラインストア」に関しては、現在もサービスを停止しており、安全性の確認など進めつつ、再開に向けた準備を進めている。