このたび、弊社が運営する「ワコムストア」(以下「ワコムストア」又は「弊社ストア」といいます。)におきまして、第三者による不正アクセスを受け、以下の事象が発生したことが判明いたしました。
① 2022年2月19日から2022年4月19日午前中の期間に「ワコムストア」で製品等を購入されたお客様のクレジットカード情報が漏洩し、その対象件数は最大で1,938件となる可能性があります。② 2021年2月22日から2022年4月19日午前中の期間に、過去に「ワコムストア」をご利用いただいたお客様の個人情報に不正なアクセスが行われ、最大で147,545名の個人情報が漏洩した可能性があります。なお、このなかにクレジットカード情報は含まれておりません。
お客様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたことを深くお詫び申し上げます。
また、クレジットカード情報又はその他の個人情報が漏洩した可能性のあるお客様には、本日より、電子メール及び書状にてお詫びとお知らせを個別にご連絡申し上げます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2022年8月19日、一部のクレジットカード会社から、弊社ストアを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2022年8月22日、弊社が運営する「ワコムストア」での販売及びカード決済を停止いたしました。
また、2022年8月30日に、第三者調査機関による調査を依頼し、2022年9月30日に調査機関による調査が完了しました。その結果、2022年2月19日から2022年4月19日午前中の期間に「ワコムストア」で製品等を購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることが判明するとともに、2021年2月22日から2022年4月19日午前中にかけてお客様のクレジットカード情報以外の個人情報に外部からアクセスが行われ、漏洩した可能性があることが判明いたしました。
以上の事実を確認のうえ、クレジットカード会社との連携を行い、お客様にご説明できる準備が整ったため、本日の発表に至りました。
2.個人情報漏洩状況
(1) 原因
弊社ストアが2022年4月19日正午まで使用していた旧システムの一部の脆弱性をついた第三者不正アクセス及びペイメントアプリケーションの改ざんが行われたためです。なお、弊社ではクレジットカード情報を保持しておりませんが、第三者調査において、当該改ざんにより決済時に入力されたクレジットカード情報が外部へ送信されていたことを確認しています。
(2) 個人情報漏洩の可能性があるお客様
個人情報漏洩の可能性があるお客様は以下の通りです。
① 2022年2月19日~2022年4月19日午前中の期間中に「ワコムストア」において製品等を購入する際に入力されたクレジットカード情報1,938件につきまして、以下の情報が漏洩した可能性がございます。・クレジットカード名義人名・クレジットカード番号・クレジットカード有効期限・セキュリティコード・Eメールアドレス② 過去に「ワコムストア」をご利用いただいたお客様147,545名につきまして、2021年2月22日~2022年4月19日午前中の期間中、以下の個人情報について外部からアクセスが行われ漏洩した可能性がございます。<注文時入力必須項目>(147,545名)・氏名、郵便番号、住所、電話番号、メールアドレス、性別<ストア会員入力必須項目>(上記147,545名の内100,565名)・会員ID、所持ポイント、メールマガジンの希望有無・形式<ストア会員の入力任意項目(一部の方のみ入力)>(以下に上記100,565名の内数を記載)・会社名(5,534名)、学校名(2,992名)、FAX番号(2,393名)、生年月日(49,510名)、職業分類(49,552名)
上記①②に該当するお客様には、本日より、別途、電子メール及び書状にてお詫びとお知らせを個別にご連絡申し上げます。
なお、不正アクセスがあった旧システムを用いたサイトは、2022年4月19日正午に閉鎖しており、新たな情報漏洩は発生しない状況にあります。弊社ストアは、2022年4月19日午後以降、独立した全く別の新しいシステムを用いた環境で運営しており、新システムの安全性は確認済みであるため、現在はクレジットカードによる決済を除く決済方法で運営しております。
3.お客様へのお願い
① クレジットカード情報について・ 既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。・ お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。・ 万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。・ なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をおかけしないよう、弊社よりクレジットカード会社に依頼しております。② その他の個人情報について・ クレジットカード情報以外の個人情報について、現時点で不正利用は確認されておりませんが、メールアドレスを悪用した「なりすまし」や「フィッシング詐欺」等、迷惑メールが送信される可能性が考えられます。・ 差出人や件名に心当たりのない不審なメールを受信した場合は、ウイルス感染や不正アクセス等の危険がありますので、メールに添付されているファイルは開封せず、メール自体を直ちに消去いただくようお願いいたします。
4.発表が遅れた経緯について
2022年8月19日に漏洩懸念発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は第三者調査機関の調査結果、及びカード会社との連携を待ってから行うことにいたしました。 今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策及び弊社が運営するワコムストアの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図ってまいります。
不正アクセスが認められた旧システムは、2022年4月19日正午に運用を停止し、現在は安全性が確認されている新システムに移行していますが、新システムにおけるクレジットカード決済の再開日につきましては、決定次第、改めて弊社ウェブサイト上にてお知らせいたします。
なお、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年8月22日及び同年10月17日に報告済であり、また、埼玉県警察のサイバー犯罪対策課及び所轄警察署の加須署にも2022年10月3日に被害を申告しており、今後捜査にも全面的に協力してまいります。