【セキュリティ事件簿#2023-035】株式会社シャルレ 「CHARLE WEB STORE(シャルレ ウェブストア)」へのサービス提供会社における個人情報漏えいのおそれに関するお詫びとお知らせ 2023年1月24日


このたび、弊社が運営する「CHARLE WEB STORE(シャルレ ウェブストア)」(https://store.charle.co.jp/)(以下「当サイト」といいます。)に対して入力補助サービス等(以下「本サービス」といいます。)を提供している株式会社ショーケース(本社:東京都港区、証券コード:3909)(以下「ショーケース社」といいます。)におきまして、同社のプログラムが第三者による悪意のある攻撃を受け、お客様のクレジットカード情報(対象者数: 605 名)が漏えいした可能性のあることが、ショーケース社からの報告により判明いたしました。

お客様には多大なるご迷惑及びご心配をおかけする事態となり、深くお詫び申し上げます。クレジットカード情報が流出した可能性のあるお客様には、二次被害の防止の観点から、既に第一報を郵送にてお送りしていますが、改めて、本日から個別にお詫びとお知らせをご連絡させていただいております。

また、被害範囲確定のための第三者機関(事故調査機関(PFI:PCI Forensic Investigator))による当サイトの調査の結果、当サイトのプログラム改ざんやサイト実行環境への不正アクセスによる情報漏えいはなかったことを確認しております。当該調査に時間を要し、ご報告が本日となりましたことを重ねて深くお詫び申し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
なお、弊社では、既にショーケース社のサービスの切り離しを行っております。

お客様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記のとおりご報告いたしますので、ご確認くださいますようお願い申し上げます。また、ショーケース社より、本件に関する概要と対応等につきまして、以下のとおり2022 年 10 月 25 日付で公表されていますので、お知らせいたします。

▼株式会社ショーケース 不正アクセスに関するお知らせとお詫び(2022 年 10 月 25日)  
 URL: https://www.showcase-tv.com/pressrelease/202210-fa-info

1.経緯等

2022 年 7 月 26 日、ショーケース社が本サービスを利用する弊社以外の企業から、本サービスのプログラムのソースコードに不審な記述がある旨の指摘を受け、ショーケース社においてソースコードを調査したところ、当サイトで使用しております同社サービス「フォームアシスト」及び「スマートフォンコンバータ」において、第三者による不正アクセスにより、ソースコードの書き換えがなされ、当サイトにおいて入力されたお客様のクレジットカード情報が外部に流出した可能性があることが判明しました。

2022 年 7 月 28 日、弊社はショーケース社からその旨の報告を受け、決済代行会社及びクレジットカード会社と相談の上、2022 年 8 月 3 日、当サイトでのカード決済を停止いたしました。また、2022 年 8 月 29 日からは、ショーケース社が第三者調査機関による調査を開始しました。

ショーケース社からの初期報告に基づき、2022 年 10 月 4 日以降、クレジットカード情報が流出した可能性のあるお客様に対して、二次被害の防止の観点から、第一報を郵便にてお送りするとともに、個別にお電話またはメールにてお知らせいたしました。

2022 年 10 月 19 日、ショーケース社における第三者調査機関による調査が完了し、流出した可能性のある情報及び情報が流出した可能性のある期間について、ショーケース社より報告を受けました。

当初、漏えいした期間は、2022 年 7 月 19 日 3 時 14 分から 2022 年 7 月 26 日 20 時35 分までとの報告を受けておりましたが、ショーケース社における第三者調査機関による詳細な調査の結果、漏えいした可能性のある期間が変更となったため、追加された期間に当サイトで決済を完了されたお客様に対しても、2022 年 11 月 1 日に、二次被害の防止の観点から、第一報を郵送にてお送りするとともに、個別にお電話またはメールにてお知らせいたしました。

その後、本件の全容解明及び被害状況の把握に向け、社内調査を進めるとともに、当サイトを対象とした第三者調査機関による調査を開始し、2023 年 1 月 6 日、当該調査の結果、当サイトにおいて漏えいした可能性のある期間は後記 2.(1)のとおりであることが判明しました。また、当サイトのプログラム改ざんやサイト実行環境への不正アクセスによる情報漏えいはなかったことも確認されました。

以上の事実が確認できたため、本日の公表および漏えいの可能性のあるお客様への最終的なご報告に至りました。

なお、当サイトでのクレジットカード決済は停止しておりますが、サービスそのものは継続しております。

2.漏えいの可能性のある個人情報等

(1) 漏えいの可能性のあるお客様
以下の対象期間中に、当サイトのクレジットカード情報入力画面にて、後記(2)の情報を新たに入力して決済されたお客様
①2022 年 7 月 19 日 07 時 49 分 55 秒から 2022 年 7 月 26 日 20 時 33 分 40 秒
②2022 年 7 月 26 日 22 時 31 分 02 秒から 2022 年 7 月 29 日 01 時 48 分 08 秒

(2)漏えいの可能性のある情報
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

3. 漏えいの可能性のあるお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいの可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

上記「2.(1)漏えいの可能性のあるお客様」は、誠に恐縮ではございますが、クレジットカードのご利用明細書に身に覚えのない請求項目の記載がないか今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合には、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、クレジットカード会社に依頼しております。

4.再発防止策及び弊社が運営するサイトについて

このたびの事態を厳粛に受け止め、当サイトに対する調査結果を踏まえてシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図ってまいります。

当サイトでのクレジットカード決済の再開日につきましては、決定次第、当サイト上にてお知らせします。

なお、今回の不正アクセスにつきまして、個人情報保護委員会には 2022 年 8 月 2日及び 2022 年 12 月 14 日に報告済みであり、また、2022 年 9 月 6 日には所轄警察署に相談をしており、今後、捜査にも全面的に協力してまいります。

5.公表が遅れた経緯について

2022 年 7 月 28 日のショーケース社からの情報漏えいのおそれに関する報告から今回の公表に至るまで、時間を要しましたことを深くお詫び申し上げます。

決済代行会社及びカード会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、当サイトにおける第三者調査機関による調査の結果及びカード会社との連携を待ってから行うことといたしました。

公表までにお時間をいただきましたこと、重ねてお詫び申し上げます。