このたび、弊社が運営しておりますオンライン通販サイト「DIY FACTORY Business(https://shop.diyfactory.jp/ 以下、「ECサイト」といいます)」におきまして、お客様がクレジットカードの情報を入力する際、意図的にフィッシングサイトへ誘導させる手口により、クレジットカード情報を不正取得された可能性のあるお客様(122名)がいらっしゃることが判明いたしました(以下、本件といいます)。
お客様をはじめ、関係者の皆様に多大なるご迷惑とご心配をおかけしておりますこと、心より深くお詫び申し上げます。
クレジットカード情報が流出した可能性のあるお客様には、電子メールにて経緯説明とお詫びのご連絡を開始しております。弊社では、このたびの事態を厳粛に受け止め、お客様には誠心誠意、適切な対応をさせていただくとともに、再発防止の対策を徹底してまいります。
本件に関する事案概要と弊社の対応につきまして、下記のとおりご報告いたします。
1.事案概要
(1)事象■フィッシングサイトに誘導する手口によるクレジットカード情報の不正取得と不正利用お客様がECサイトにアクセスし、クレジットカード情報を入力して商品等を購入される際、偽のクレジットカード情報入力ページへ意図的に誘導するというものです。お客様が偽のクレジットカード情報入力ページにクレジットカード情報を入力し送信した場合、第三者にクレジットカード情報が送信されます。そしてこの手口により不正にクレジットカード情報を入手した者が、当該お客様のクレジットカード情報を不正利用し、他社のECサイト等で商品等を購入した可能性があることを確認いたしました。
(2)漏洩の状況(最大可能性)■クレジットカード情報漏洩の可能性があるお客様数2022年4月12日0時50分~2022年4月14日11時24分の間に、ECサイトでクレジットカード決済をご利用された お客様122名。上記に加え、偽のクレジットカード情報入力ページにてクレジットカード情報を入力されたものの、購入にいたらなかったお客様、および偽のクレジットカード情報入力ページのみに入力されたクレジットカード情報も流出した可能性がございますが、特定はできておりません。漏洩した可能性のある情報は以下の通りです。
- クレジットカード番号
- クレジットカード有効期限
- セキュリティコード
(3)原因弊社ではクレジットカード情報を保有しておりませんでしたが、弊社が運営するECサイトのシステムの一部の脆弱性をついた第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため
2.発覚および経緯
(1) 2022年4月20日、クレジットカード会社より、ECサイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日、ECサイトを閉鎖いたしました。また、本件の全容解明および被害状況の把握に向け、社内調査を進めるとともに、第三者の専門調査会社による調査を実施いたしました。(2) 2022年6月15日、第三者の専門調査会社の調査が完了し、ECサイトを利用されたお客様のクレジットカード情報が漏洩した可能性があることを確認いたしました。以上の事実が確認できたため、クレジットカード会社と協議のうえ、本日の発表に至りました。(3) 公表が遅れた経緯につきまして、2022年4月20日の漏洩懸念の発覚から今回のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
3.弊社の対応
(1)お客様への対応2022年8月1日より、クレジットカード情報流出の可能性があるお客様に電子メールにて、お詫びと注意喚起を直接ご案内させていただいております。また同日より、お客様からのお問い合わせに対応できるよう、専用コールセンターを設置いたしました。(2)警察への報告2022年4月21日、所轄の警察署である大阪府警察 生野区警察署に報告いたしました。(3)行政機関への報告2022年4月22日、個人情報保護委員会に報告いたしました。
4.お客様へのお願い
(1) 身に覚えのないクレジットカードの利用履歴がないかご確認をお願いいたします。流出した可能性があるクレジットカード情報につきましては、お客様にご迷惑がかからないよう、弊社より各クレジットカード会社へ不正利用の監視強化を依頼しております。万が一、クレジットカードの明細書に 身に覚えのない請求がございました場合は、お手数ではございますが、クレジットカード裏面に記載のカード発行会社へお問い合わせいただきますようお願い申し上げます。(2) クレジットカード情報が流出した可能性のあるお客様のクレジットカードにつきまして、再発行をご希望の場合、クレジットカード裏面のカード発行会社にお客様から直接、お問い合わせいただきますようお願い申し上げます。なお、クレジットカード再発行の手数料につきましては、お客様のご負担にならないようクレジットカード会社へ依頼しております。特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。(3) お客様にお心当たりのない不審な点等がございましたら、弊社専用コールセンターまでご連絡をお願い申し上げます。警察および関係官庁と連携し、誠実に対応を進めてまいります。
5.再発防止策
今後二度と同様の事案を起こすことのないよう、調査結果を踏まえて以下の取り組みを行い、システムのセキュリティ対策、及び監視体制の強化に努めてまいります。
(1) システムの脆弱性診断の定期的な実施
(2) システムのファイル変更を監視、検知する体制の強化
(3) ECサイトの管理画面に対するアクセス制限の強化等
なお、「DIY FACTORY Business」のサービスは終了しております。今後の再開につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
このたびは、お客様およびご関係者の皆さまに、多大なるご不安ご迷惑をお掛けしておりますことを重ねてお詫び申し上げます。