このたび、画面表示を最適化するサービスを提供する株式会社ショーケース(以下「ショーケース社」といいます。)において、当該サービスのシステムが第三者によって改ざんされたとの公表がありましたが、弊社が運営する「ABC-MART公式オンラインストア」(以下「本サイト」といいます。)は当該サービスを利用しており、お客様のクレジットカード情報(2,298件)が漏えいした可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
既に弊社ではショーケース社のサービスの切り離しを行っております。
また、第三者調査機関によるフォレンジック調査を実施し、当該サービス以外の理由による個人情報の漏えいが無いことおよび本サイトのプログラム改ざん、サイト実行環境への不正アクセスが存在しないことを確認いたしました。
上記を踏まえ、本サイトでのクレジットカード決済機能は、本日2022年10月25日再開予定となりますが正式な日程につきましては、あらためまして本サイトにてご案内いたします。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する詳細につきまして、下記の通りご報告いたします。
1.経緯
2022年7月28日、ショーケース社から、本サイトのクレジットカード情報入力画面で利用している、画面表示を最適化するサービスのプログラムが第三者によって不正に改ざんされた可能性があると連絡を受けたため、本サイトにおける当該サービスの利用を停止しました。その後関係各社との協議の上、本サイト全体の脆弱性調査をすべく、同年8月9日に本サイトのクレジットカード決済機能を停止いたしました。
同年9月28日、第三者調査機関による調査が完了し、同年7月24日~同月26日の期間に本サイトでお客様に入力いただいたクレジットカード情報が外部のサーバーに送信され、漏えいした可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
なお、ショーケース社のサービスのシステム改ざんに関する詳細につきましては、同社より2022年10月25日に発表されておりますので、こちらをご参照くださいますようお願い申し上げます。
2022年10月25日付
2.個人情報漏えい状況
(1)原因
本サイトのクレジットカード情報入力画面に組み込まれていた、ショーケース社が提供する画面表示最適化サービスのプログラムが、第三者によって不正に改ざんされたため。
(2)個人情報漏えいの可能性があるお客様
2022年7月24日~同月26日の期間中に本サイトでクレジットカード情報を入力いただいたお客様で、漏えいした可能性のある情報は以下のとおりです。
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。
3.お客様へのお願い
弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めておりますが、お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、上記「2.(2)個人情報漏えいの可能性があるお客様」記載のお客様が、漏えいした可能性のあるクレジットカードの差し替えをご希望される場合、当該クレジットカードの再発行の手数料につきましては弊社にて負担をさせていただきます。クレジットカード会社からお客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。
4.発表が遅れた経緯について
2022年7月28日から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招くと考え、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.弊社の対応と再発防止策について
本件につきまして、監督官庁である個人情報保護委員会には2022年8月10日に報告済みであり、また、所轄警察署にも2022年9月28日被害申告しており、今後捜査にも全面的に協力してまいります。
弊社はこのたびの事態を厳粛に受け止め、本件の被害拡大の防止に努めるとともに、今後の再発防止策の徹底、およびより一層の情報セキュリティ対策の強化に取り組んでまいります。