ドラッグストアをチェーン展開するコスモス薬品の通信販売サイトが不正アクセスを受け、顧客のクレジットカード情報が外部に流出した可能性があることがわかった。同社では4月にシステムを変更したが、5月に入ってクレジットカード会社より指摘があり、旧システムにおける情報流出が判明したという。
同社によれば、「コスモスオンラインストア」において、2020年2月7日から2021年4月22日にかけて顧客が決済に利用したクレジットカード情報が外部へ流出し、不正に利用された可能性があることが判明したもの。対象となるクレジットカードは2万5484件で、名義、番号、有効期限、セキュリティコードなどを窃取されたおそれがある。
5月12日に情報流出の可能性についてクレジットカード会社から指摘があり問題が判明、調査を実施したという。同サイトでは、4月23日にシステムを変更したばかりで、4月22日以前に運用していた旧システムにおいて脆弱性が突かれ、不正なファイルを設置されていた。システムを変更した4月23日以降については情報流出は確認されていないと説明している。
外部事業者による調査は6月9日に完了、6月14日に警察へ届けた。個人情報保護委員会に対しては7月2日に報告を行っている。対象となる顧客には、7月12日よりメールで経緯の説明や謝罪を行っており、身に覚えのない請求などが行われていないか確認するよう呼びかけた。
「コスモスオンラインストア」に関しては、現在もサービスを停止しており、安全性の確認など進めつつ、再開に向けた準備を進めている。