この度、弊社通販サイト「カクヤスネットショッピング」上において弊社が利用しておりました Web 入力支援ツールを提供する企業である株式会社ショーケース(本社:東京都港区、代表取締役社長:永田 豊志、証券コード:3909、以下:ショーケース社)より、当該サービスのシステムが第三者により改ざんされ、一部のお客様(8,094件)のクレジットカード情報が漏洩したとの連絡がございました。
ご参考:ショーケース社 2022 年 10 月 25 日付
「不正アクセスに関するお知らせとお詫び」
https://www.showcase-tv.com/pressrelease/202210-fa-info
クレジットカード情報が漏洩したお客様には、本日、個別に E メールにてお詫びとお知らせを送らせていただいております。
また、ショーケース社における被害範囲確定のための第三者機関による調査に時間を要し、ご報告が本日となりましたことを深くお詫び申し上げます。
弊社は今回の事態を厳粛に受け止め、再発防止に万全を期してまいります。
お客様をはじめ、関係者の皆様には重ねてお詫び申し上げますとともに、本件に関する概要につきまして、下記の通りご報告申し上げます。
■経緯
2022 年 7 月 28 日(木)、弊社通販サイト「カクヤスネットショッピング」上において Web 入力支援ツールを提供する企業であるショーケース社より、当該サービスのシステムが第三者により不正に改ざんされた可能性があり、「カクヤスネットショッピング」をご利用いただきました一部のお客様のクレジットカード情報が、ショーケース社のサービスを介して漏洩した可能性があると連絡を受けました。
2022 年 10 月 19 日(水)、ショーケース社側での第三者機関による調査報告により、改ざんが発生した 2022 年 7 月 19 日(火)07 時 50 分 00 秒~2022 年 7 月 29 日(金)01 時 49 分 32 秒の期間に、「カクヤスネットショッピング」のクレジットカード情報入力画面でご入力いただいた一部のお客様において、クレジットカード情報がショーケース社のサービスを介して漏洩したことが確定したと報告を受けました。
2022 年 10 月 24 日(月)、ショーケース社の調査報告書を元に、クレジットカード会社等と協議の上、データの抽出を行い、クレジットカード情報の漏洩したお客様(8,094 件)が特定されましたので、本日のお詫びとお知らせに至りました。
■クレジットカード情報の漏洩状況
(1)原因
ショーケース社システムの脆弱性をついた第三者の不正アクセスにより、ショーケース社のサービスのソースコードの書き換えがなされたため。
(2)漏洩情報
2022 年 7 月 19 日(火)07 時 50 分 00 秒~7 月 29 日(金)01 時 49 分 32 秒の期間に、弊社通販サイト「カクヤスネットショッピング」のクレジットカード情報入力画面にて入力された一部のお客様(8,094 件)が対象となり、漏洩した情報は以下のとおりです。
・クレジットカード番号
・有効期限
・セキュリティコード
■お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩したクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
本件におかれまして、万が一覚えのないクレジットカード利用などがございましたら、誠にお手数ではございますがクレジットカード裏面に記載のある各クレジットカード会社までご相談ください。
また、お客様のクレジットカードは悪用される可能性がございますので、クレジットカード番号の切り替えにつきまして、各クレジットカード会社へご相談ください。
ただし、2022 年 7 月 29 日(金)以降にクレジットカード番号を切り替え済のお客様はこの限りではございません。
なお、お客様がクレジットカード番号の切り替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をおかけしないよう、弊社よりクレジットカード会社に依頼しております。
■弊社の対応と再発防止策について
弊社では、2022 年 7 月 28 日(木)、ショーケース社からの連絡を受けた後、直ちにショーケース社のサービスの利用停止と切り離しを行っております。
また、「カクヤスネットショッピング」の当社システムは、24 時間 365 日の第三者によるセキュリティ監視システムを導入しており、上記期間を含めてその前後での異常の検知はされておらず、「カクヤスネットショッピング」システムからの情報漏洩はございません。
本件の発覚を受けて、「カクヤスネットショッピング」のシステム自体について、第三者機関(外部のセキュリティ企業)のフォレンジック調査(侵害痕跡調査)を実施いたしました。調査結果として本件ショーケース社のサービスを介した情報漏洩以外は無いことが証明されております。
既にクレジットカード情報をご登録いただいているお客様におかれましては、弊社は2014 年よりクレジットカード番号非保持化、2018 年よりクレジットカード番号のトークン化決済(カード番号を通信に利用しない決済)を導入しておりますので、情報漏洩等のご心配はございません。
クレジットカード情報の新規登録、変更登録をされるお客様におかれましても、更に万全を期すために、この度リンクタイプ決済に切り替え、弊社サイト上ではクレジットカード情報を一切扱わない仕様といたしました。これにより、万が一今回のように外部サービスでのセキュリティ侵害が発生した場合でも、「カクヤスネットショッピング」ご利用のお客様のクレジットカード情報が漏洩しないよう対策を講じております。
■公表が遅れた経緯について
2022 年 7 月 28 日(木)の情報漏洩懸念発覚から本日のご報告に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご報告申し上げるところではございましたが、ショーケース社による調査結果を待たず、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからのご報告が不可欠であるとクレジットカード会社から説明を受け、ショーケース社による第三者機関の調査結果を待ってから行う事と致しました。
今回の情報漏洩につきましては、2022 年 8 月 5 日付で個人情報保護委員会への報告を行っております。また 2022 年 10 月 20 日付で所轄警察署である王子警察署への届け出を行っており、その指導に従い、再発防止に努めてまいります。
改めまして、お客様をはじめ、関係者の皆様に多大なるご迷惑、およびご心配をおかけする事態となりましたこと、深くお詫び申しあげますとともに、引き続き株式会社カクヤスおよび「カクヤスネットショッピング」をご愛顧いただきますよう、宜しくお願い申し上げます。