このたび、当牧場が運営する「なかほら牧場オンラインストア」の旧サイト(以下「旧サイト」といいます)が 2021年4月22日に不正アクセスを受け、以降 2023年7月11日までの期間において入力されたお客様のカード情報(5,069件)が窃取されていた可能性、およびカード情報5,069件を含む個人情報(14,933件)が閲覧されていた可能性のあることが判明いたしました。
上記の期間に当牧場の旧サイトでカード番号を入力されたお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたことについて深くお詫び申し上げます。
カード情報および個人情報が窃取された可能性のあるお客様には、本日以降、電子メールでお詫びとお知らせをお送りしてまいります。
本件の概要・経緯およびお問合せ窓口等につきまして、下記の通りお知らせいたします。
1.経緯
2023年9月8日、一部のクレジットカード会社から、当牧場の旧サイトを利用されたお客様のカード情報が窃取された可能性がある旨の連絡を受けました。
当牧場の現サイトは上記連絡を受ける前 2023年7月11日に新システムへ移行しておりましたが、あらゆる可能性を考慮に入れて、2023年9月12日、現サイトにおけるカード決済を停止いたしました。
上記の措置と同時に、第三者調査機関による調査を開始いたしました。2023年11月27日に当該調査が終了し、2021年4月22日~2023年7月11日の期間に当牧場の旧サイトでカードの番号を入力されたお客様(および2023年7月12日から2023年9月12日の期間において旧サイト・マイページのカード情報を更新されたお客様)のカード情報が入力時に窃取され、その後、うち一部のお客様のカード情報が不正利用された可能性があることが確認されました。また、2023年7月11日までに当牧場の旧ECサイトに個人情報をご入力いただいたお客様の個人情報(14,933件)が閲覧された可能性も確認されました。
以上の事実が確実なものとなりましたので、本日2024年2月28日の発表に至りました。
2.個人情報漏洩状況
(1)原因
当牧場の旧サイトで使用しておりましたシステムの一部に脆弱性があり、これをついた第三者が不正にアクセスして、ペイメントアプリケーションの改ざんが行われました。
(2)カード情報窃取の可能性があるお客様
2021年4月22日~2023年7月11日の間に当牧場の旧サイトにおいてカード番号を入力されたお客様、および2023年7月12日から2023年9月12日の間に旧サイト・マイページのカード情報を更新されたお客様です。窃取された可能性のあるのは5,069件で、内容は次のとおりです。
・カード名義人名
・カード番号
・有効期限
・セキュリティコード
・住所
カード情報窃取の可能性があるお客様には、電子メールで個別にご連絡いたします。
(3)個人情報が閲覧された可能性のあるお客様
2017年6月1日から2023年7月11日までに当牧場の旧サイトをご利用いただいた 14,933名のお客様について、閲覧された可能性のある情報は以下の通りです。
・住所
・氏名
・注文内容
・メールアドレス
・生年月日(任意入力項目)
・会員番号
・電話番号
・FAX番号(任意入力項目)
3.お客様へのお願い
すでに当牧場では、クレジットカード会社と連携して窃取された可能性のあるカードによる取引のモニタリングを継続実施し、不正利用の防止に努めております。
お客様におかれましても、お手数をおかけしてたいへん申訳ございませんが、カードご利用明細にある請求項目のご確認をお願いいたします。もし、当該利用明細中に覚えのない請求項目の記載がありましたら、おそれ入りますがカードの裏面に記載されているクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、当牧場からクレジットカード会社に依頼しております。
4.公表が遅れた理由・経緯について
2023年9月8日に状況報告を受けてから今回の案内に至るまで、時間を要しましたことにつきましては、深くお詫び申し上げます。
カード番号窃取の可能性に関する連絡を受けた時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるべきとも考えられるところではございましたが、クレジットカード会社との協議を踏まえ、不確定な段階における情報の公開は混乱を招くため、調査会社による調査結果の確定およびクレジットカード会社との連携を待って行うことといたしました。
今回の公表まで時間がかかりましたことについて、重ねて深くお詫び申し上げます。
5.再発防止策ならびにオンラインストアにおけるカード決済の再開について
2023年7月11日に運用を開始した現オンラインストアは、旧サイトとは異なる決済システムで運営しているためカード情報窃取の対象とはなっておりませんが、システムのセキュリティ確保につきましては、今後一層注意してまいります。
現在の「なかほら牧場オンラインストア」におけるカード決済の再開日につきましては、決定し次第、改めてサイト上でお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会に2023年9月12日に報告済であり、また、2023年12月26日には所轄警察署にも報告済です。