Webサイトにおける、IPアドレス直接指定によるリクエストブロックの効果（転載）

「不正アクセスの傾向分析とクラウドWAF利用時の注意点」の記事をアップしました。MBSD-SOCで観測したアラートの傾向を元に、セキュリティ対策の一環として取り得る対応や、クラウドWAFを使用する際の注意点について解説します。（バックアップ）

Webサイトを利用する際、FQDNでアクセス先を指定することがほとんどかと思います。

例えば、ブラウザのURL欄にwww.example.comと入力してアクセスした場合、リクエストのHostヘッダは「Host: www.example.com」となります。

一方で、例としてwww.example.comを名前解決したIPアドレスが198.51.100.1だとすると、このWebサイトにIPアドレスを直接指定してアクセスした場合、Hostヘッダが「Host: 198.51.100.1」のようになります。

また、IPアドレスを直接指定してHTTPSでアクセスした場合、証明書の検証に失敗してしまいますので、図2のようにブラウザに警告メッセージが表示されます。

よって、一般的なWebサイトであれば、サイト利用者による正規なリクエストはFQDNでのアクセスとなるはずです。

下図は、ある期間で観測したHTTP(S)リクエストによるアラートを、Hostヘッダの指定方法ごとに集計した結果です。

アラートの約3割がIPアドレスを直接指定したリクエストであるという傾向が見受けられました。

FQDN・IPアドレス直接指定の他に、Hostヘッダに攻撃文字列をセットしたリクエストも一定数観測しています。

下表は観測したアラートのうち、IPアドレス直接指定によるリクエストで検知したアラートを簡易的に分類し、集計した結果です。

最も割合の多い「特定の脆弱性を狙った攻撃」は、該当製品の使用有無に関わらず無差別的(バラマキ)に攻撃してきているケースを多く観測しています。「隠しファイルやパスへのアクセス試行」「IoTデバイスへの攻撃」にも同様の傾向があります。

(当然、事前に外部公開システムを検索できるサービスなどを使い、ターゲットを絞ってから攻撃してくるケースもあるものと想定されます。)

IPv4インターネットの世界には、ざっくり約43億個のグローバルIPアドレスがあります。

この43億という数はツールを使用することにより現実的なコスト(所要時間)でスキャンすることが可能と言われています。

IPアドレスをスイープ(総なめ)して無差別的に攻撃リクエストを投げてきたり、スキャンをかけてきたり、ボットネットの感染拡大を試行してくるという傾向は上記の集計結果からも読み取れるかと思います。

以上のことから、全ての環境に当てはまるとは限りませんが、Webアプリケーションに対するIPアドレス直接指定によるリクエストを拒否することで、不審なリクエスト(攻撃を含む)を軽減する一定の効果があると考えられます。

その他にも、以下の観点でメリットがあると考えられます。

• IDS/IPSやWAFを運用している環境の場合、アラート確認の手間を削減できる。
• リクエストやレスポンス処理にかかるサーバリソースの無駄な消費を軽減できる。

WebサーバやWAF・ロードバランサなどのアプライアンスでIPアドレス直接指定によるリクエストを拒否(ブロック)する設定を検討するのはいかがでしょうか？

現状維持とは、退化のことである（転載）

現状維持とは、退化のことである:

神楽坂にある和食のお店に出かけました。ミシュランで13年連続3ツ星を維持し続けている、予約のなかなか取れない名店です。

インスタ映えするような、派手な盛り付けはありませんが、丁寧に下ごしらえして品のあるお料理と、丁寧な接客が、何回いってもしみじみと満足できるお気に入りのお店です。

老舗の変わらない味を伝統として守っているように見えますが、毎回新しいお料理が登場して進化しています。

今回の最後に出てきた土鍋ご飯は、牛肉が入った珍しいものでした。ひょうきんなご主人が自らテーブル前で仕上げをしてくれます。

炊き立てのご飯に生の牛肉の薄切りを入れて、かき混ぜてご飯の熱で牛肉に火を入れます。レア感の残った牛肉の味がご飯と一体になって、薄味で何杯でも食べられる絶妙な仕上がりでした。

老舗の人気店であっても、進歩や改善をやめてしまえば、お客様は離れていきます。世の中が変化して、来店客の好みが変われば現状維持は退化を意味するのです。

ソフトバンクの孫正義氏は「髪の毛が後退しているのではなく、私が前進しているのだ」という名言を残しました。

進化しているのか、退化しているのかは、自分の相対的な位置がどちらに向かっているかによって決められるものです。

世の中の変化よりも大きく動かなければ、それは相対的には退化を意味するのです。

情弱者向け投資商品「ファンドラップ」バカ売れ中（転載）

ファンドラップの問題は「高コスト」だけではない:

日本経済新聞の報道によれは、金融機関に資産運用を一任するファンドラップの契約残高が、2021年6月末で12兆円となり、ここ5年間で2倍超に増えたそうです（図表も同紙から）。

紙面でも指摘されているように、ファンドラップの最大の問題は、手数料などコストが割高で、それが個人投資家に見えにくい構造になっていることです。ラップ口座自体の運営コストだけではなく、組み入れられる投資信託の信託報酬もかかり、実際の年間コストがどのくらいになるか、不透明です。

株価の堅調であれば高コストであっても値上がり益に吸収されて気にする個人投資家は少ないと思いいます。しかし、金融マーケットが調整する局面になれば、資産価格のマイナスに高い運用コストが相まって、ファンドラップを利用する個人投資家の資産はマーケットの平均よりも、更に大きく下落することになります。

高い手数料を支払っても、それに見合う運用成果が得られなければ、低コストのインデックスファンドを自分で組み合わせてアセットアロケーションする方が賢明です。

ファンドラップのもう一つの問題は、運用をお任せと言いながら、投資対象が金融資産だけに偏っていることです。

今や、プロの運用者である機関投資家も、リスク分散とリターン向上を目的に、不動産をはじめとする実物資産を運用対象に組み入れるのが常識となっています。

高いコストを払い、成果の期待しにくい金融資産だけの運用を続けても、将来のお金の不安は解消しません。

上記の話は資産運用に真剣に向き合う人にとっては当たり前のことだと思います。でも、世の中一般では、なかなか理解されていないのは、とても残念なことです。

情報セキュリティに関係する基準、ガイドラインなど（転載）

情報セキュリティに関係する基準、ガイドラインなど: 

 rokujyouhitoma.hatenablog.com/entry/2021/09/…

いつも見直すときに探し直す羽目になってしまうので情報セキュリティに関係する法規、基準、ガイドラインなどをまとめておく。

こうやってリストアップし俯瞰すると、多くは経済産業省、IPA。

基準、ガイドライン

• 営業管理秘密指針https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf
  
  
• サイバーセキュリティ経営ガイドライン
  https://www.meti.go.jp/policy/netsecurity/mng_guide.html
  
  
• クラウドサービス提供における情報セキュリティ対策ガイドライン（第２版）
  https://www.soumu.go.jp/main_content/000566969.pdf
  
  
• 総務省｜報道資料｜「クラウドサービス提供における情報セキュリティ対策ガイドライン（第2版）」の公表
  https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00001.html
  
  
• テレワークセキュリティガイドライン第５版（令和３年５月）
  https://www.soumu.go.jp/main_content/000752925.pdf
  
  
• 総務省｜テレワークにおけるセキュリティ確保
  https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
  
  
• 中小企業等担当者向け テレワークセキュリティの手引き（チェックリスト）第２版（令和３年５月）
  https://www.soumu.go.jp/main_content/000753141.pdf
  
  
• 中小企業の情報セキュリティ対策ガイドライン
  https://www.ipa.go.jp/files/000055520.pdf
  
  
• 情報セキュリティ監査制度
  https://www.meti.go.jp/policy/netsecurity/is-kansa/
  
  
• 情報セキュリティ管理基準（平成28年経済産業省告示第37号）
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
  
  
• 情報セキュリティ監査基準（平成15年経済産業省告示第114号）
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf
  
  
• 情報セキュリティ監査基準 実施基準ガイドライン Ver1.0
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex05.pdf
  
  
• オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集
  https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html
  
  
• 情報システム安全対策基準
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf
  
  
• 個人情報の保護に関する法律についてのガイドライン （外国にある第三者への提供編）
  https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
  
  
• OECDガイドライン
  https://www.mofa.go.jp/mofaj/gaiko/oecd/security_gl_a.html
  
  
• 政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版）
  https://www.nisc.go.jp/active/general/kijun30.html
  
  

規格、認証、フレームワーク

• ISO/IEC 27001
  https://www.iso.org/isoiec-27001-information-security.html
  
  
• ISO/IEC 27017:2015
  https://www.iso.org/standard/43757.html
  
  
• ISO/IEC 17799:2005
  https://www.iso.org/standard/39612.html
  
  
• JIS X 5080:2002
  https://www.jipdec.or.jp/archives/publications/J0004141
  
  
• ISO/IEC 20000:2018
  https://www.iso.org/standard/70636.html
  
  
• ISO 22301:2012
  https://www.iso.org/standard/50038.html
  
  
• IEC 62443シリーズ
  https://www.iec.ch/blog/understanding-iec-62443
  
  
• JIS Q 15001:2017
  https://www.kikakurui.com/q/Q15001-2017-01.html
  
  
• セキュリティ関連NIST文書
  https://www.ipa.go.jp/security/publications/nist/index.html
  
  
• NIST CSF
  https://www.ipa.go.jp/files/000071204.pdf
  
  
• プライバシーマーク制度
  https://privacymark.jp/system/about/index.html
  
  
• PCI DSS
  https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_2_1_JA-JP.pdf?agreement=true&time=1632922346978
  
  
• ITIL
  https://www.axelos.com/best-practice-solutions/itil
  
  
• EDSA認証
  https://www.isasecure.org/en-US/Certification/IEC-62443-EDSA-Certification-(In-Japanese)
  https://www.ipa.go.jp/security/fy25/reports/edsa/index.html
  
  

法

• 不正競争防止法
  https://elaws.e-gov.go.jp/document?lawid=405AC0000000047
  https://www.meti.go.jp/policy/economy/chizai/chiteki/index.html
  
  
• 不正アクセス禁止法
  https://elaws.e-gov.go.jp/document?lawid=411AC0000000128
  
  
• サイバーセキュリティ基本法
  https://elaws.e-gov.go.jp/document?lawid=426AC1000000104
  
  
• 個人情報保護法
  https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
  https://www.ppc.go.jp/personalinfo/

クラウドOSINT / Cloud OSINT + free cloud training courses & certifications（転載）

Cloud OSINT + free cloud training courses & certifications

コンピュータ技術は、小型化、シンクライアント化、プッシュプルモデルによる更新情報を提供する中央管理型のインフラへと移行し続けていますが、ひとつ確かなことは、クラウドが未来であるということです。

クラウド環境でのインシデントレスポンス、OSINTに基づく調査、クラウドベースのデジタルフォレンジックなど、この継続的な適応には、デジタル調査も適応しなければなりません。

脅威を調査したり対応したりするためには、まず環境を理解する必要があります。

サービスプロバイダーが誰であるかに関わらず、クラウドは世界中に散在する物理的および仮想的なコンピューティングリソースの組み合わせであり、デジタル「テナント」によって短期または長期的にレンタルされています。

クラウドについて学ぶことは、デジタル調査員にとって有益です。実際、クラウド・コンピューティングに関して、これほど多くの無料教育コンテンツが提供されていることはありません。

 Cloud OSINT

一般的なクラウドOSINT調査では、一般に公開されている（多くの場合、意図せずに公開されている）オンラインコンテンツに焦点が当てられ、一般にバケット（AWS、Google Cloud）やブロブ（Azure）と呼ばれるクラウドストレージリソースに展開されます。

公開されているバケットやブロブには、ビデオやMP3ファイルの再生、画像やPDFの表示など、Webサイトと同じようにオブジェクトを格納して表示することができます。

「漏れたバケツ」を検索することは、単なる調査の切り口ではなく、サイバーセキュリティの専門家や監査人がデータポリシーのギャップを見つけ、コンプライアンス違反を排除するためにも行われます。

ここでは、クラウド上で公開されているコンテンツを検索するための便利なツールをご紹介します。

• Grey Hat Warfare - ファイル、バケット、ブロブの検索可能なデータベースです。様々なクラウドリソースをキーワードで検索できます。完全な検索結果、リスト、ファイル拡張子、その他のオプションは、有料のサブスクリプションのみで利用可能です。
  
  
• Osint.sh Public Buckets - Amazon S3バケットとAzure blobの両方を検索します。キーワードやファイルの拡張子で検索を絞り込むことができます。
  
  
• Digi Ninja’s Bucket Finder - オフラインツール、ダウンロードが必要です。バケット名をチェックして、その公開/非公開の設定やパーミッションをチェックします。

ウェブやオフラインのツールは便利で簡単に利用できますが、本当の意味でのチャンスや選択肢の豊富さは、Githubや、公開すべきでないクラウドリソースを列挙して特定するために作成された数多くのリポジトリにあります。

• https://github.com/initstring/cloud_enum
  
  
• https://github.com/nyxgeek/AzureAD_Autologon_Brute
  
  
• https://github.com/Parasimpaticki/sandcastle
  
  
• https://github.com/sa7mon/S3Scanner
  
  
• https://github.com/clario-tech/s3-inspector
  
  
• https://github.com/eth0izzle/bucket-stream
  
  
• https://github.com/cr0hn/festin
  
  
• https://github.com/awslabs/aws-config-rules
  
  
• https://github.com/awslabs/git-secrets
  
  
• https://github.com/jordanpotti/AWSBucketDump

上記の資料の範囲は非常に広く、それらの資料を利用するには、ある程度深い理解と勉強が必要になるでしょう。

幸いなことに、そのような目的のための資料には事欠きません。

週刊OSINT 2021-37号 / Week in OSINT #2021-37（転載）

Week in OSINT #2021-37
 

今号は、次のような話題をお届けします。

• Why Look at the Page Source?
• WeVerify Plugin
• Start.me on Canada
• IOCs on Twitter
• Whatsmyname
• Finding Hidden Content on LinkedIn
• Google Alerts

---

Tip: なぜページソースを見るのか？

OSINT分野のハードヒッターが、Twitterで質問をしたらどうなるでしょうか？その質問が「Webページのソースコードを見るべき理由を教えてください」だったらどうでしょう。その結果、興味深いツイッターのスレッドができ、なぜそれが実りあるものになるのか、たくさんの例が出てきます。解析コード、隠れたメタデータ、タイムスタンプ、解析されたJSONデータなど、多くの発見がありました。Kirbyさん、ご質問ありがとうございました。

The #OSINT question for this week: give one reason you might look at the source code or inspect panel for a website during an investigation.

— kirbstr (@kirbstr) September 7, 2021

Link: Twitter thread

---

ツール: WeVerify Plugin

フェイクニュースに対抗するための最良のツールの一つが、WeVerifyプロジェクトのツールボックスです。このツールボックスはブラウザに組み込まれており、ワンクリックで画像の逆引き検索や、便利なツールを集めたメニューを表示することができます。さらに、便利な新機能が追加されたことで、さらに進化しています。

• TwitterやFacebookからのメタデータ
• OCRツール
• イメージフォレンジックの強化
• ファクトチェックサイトのGoogle検索
• ソーシャルメディアのGoogle検索

何よりも素晴らしいのは、ツールの中に学習教材やゲームが用意されていることです。コンテンツのファクトチェックに慣れていない人は、「クラスルーム」や「デモ」を見て、スピードを上げていきましょう。ジャーナリストや研究者のみが利用できるツールもありますので、より高度な機能を利用したい方はアカウントを登録してください。Firefoxのアドオンもいつかアップデートされることを期待しましょう。

「フェイクニュースゲーム」で自分のスキルを試す

---

リンク: Start.me on Canada

Ritu Gillは、カナダに関する有用な情報を集めた「Start.me」のページを作成しました。国レベルのリンクだけでなく、州や地域別のリンクにも分けられています。膨大な量のリンクが掲載されており、カテゴリー別に分けられていないため少し検索する必要がありますが、必要に応じて有用なリンクの世界が広がっています。すべてのハードワークと、それをコミュニティと共有することに感謝します

カナダの情報が必要ですか？そんな時はこのサイトをご利用ください。

---

Tip: IOCs on Twitter

Daniel Lópezはセキュリティアナリストで、phishhunt.ioの開発者です。phishhunt.ioは、ダニエル・ロペス氏のウェブサイト、Twitter、またはGitHubのリポジトリから、Twitterで共有されているIOCを見つけることができます。

ツイッターでのIOCコレクション

彼のレポでもうひとつ興味深いのは、フィッシングキットのコレクションです。Phishhunt.ioは、アクティブなフィッシングサイトをダウンロードし、GitHubのレポに保存しています。ここにあるコレクションは本当に役に立ちます。

Link: TweetFeed

Link: Phishing kits

---

ツール: Whatsmyname

2015年10月にMicah Hoffmanは、ユーザー名を列挙するツールWhatsmynameを作成しました。このスクリプトは他のツールとは異なり、ウェブサイトに問い合わせをして、エラーがなければヒットするというものではありません。WebサイトやAPIにクエリを送信した後、実際にコンテンツを確認します。誤検出が減り、手作業に費やす時間も減りました。また、コミュニティのおかげで、さらに多くのサイトが追加されました。現在、300以上のウェブサイトが含まれていますが、あなたの助けが必要です。お気軽にフォームにご記入いただくか、プルリクエストを作成してサイトを追加してください。

Link: GitHub repo

Link: WhatsMyName web app

---

Tip: LinkedInの隠れたコンテンツを見つける

LinkedInユーザーにとっては、すべてが見えるわけではありません。なぜなら、プロフィールを見てもはっきりとは見えない情報もあるからです。しかし、古き良き時代のGoogleは、これらの隠れた情報を認識しており、Henk van EssがTwitterのスレッドで示したように、人々が働く場所を検索することもできます。

LinkedInで間接的に人を検索する

また、自分のプロフィールがGoogleにインデックスされないようにしても、追加した会社の従業員として表示されてしまいます。Irina Shamaevaのサイトでは、LinkedInの便利なクエリを紹介しています。

Link: Booleanstrings

---

Tutorial: Google Alerts

Tracy MaleeffがGoogleアラートの作成方法について短いチュートリアルを書きました。Googleアラートは、特定のトピックに関する情報を、メールボックスやRSSフィードで簡単に収集することができるサービスです。Googleのこのサービスは2003年に開始されたもので、Googleのデータベースに新しくインデックスされたURLが「アラート」にマッチすると、アラートの作成者に通知されるというサービスを提供しています。非常に便利で、設定も簡単です。この小さなチュートリアルに感謝します。

アラートの設定 - Image by InfoSecSherpa

Link: https://link.medium.com/zboIT78fHjb

ライトオンに不正アクセス、会員の個人情報が流出（転載）

弊社公式オンラインショップへの不正アクセスによる個人情報流出に関するお詫びとご報告 株式会社ライトオン 2021年11月4日
biz.right-on.co.jp/news/topics/11…

ライトオンに不正アクセス、会員の個人情報が流出

衣料小売のライトオンは、公式オンラインショップが不正アクセスを受け、登録会員に関する個人情報が外部に流出したことを明らかにした。

同社によると、会員登録フォームより登録された「ライトオンメンバーズ」の個人情報24万7600件が外部に流出したことが、10月30日に判明したもの。氏名や生年月日、性別、住所、電話番号、メールアドレスなどが含まれる。

10月27日に異常なアクセス件数を検知し、同月23日ごろより断続的に攻撃を受けていたことが発覚。対策を講じたが29日にも不正アクセスを確認し、アクセス元との通信を遮断した。また調査を行ったところ、流出したデータに個人情報が含まれていたことが10月30日に判明したという。

同社は11月3日に警察へ被害を申告するとともに、個人情報保護委員会へ報告。翌4日より対象となる顧客に対して個別に連絡を取っている。

同社では、不正アクセス対策や監視体制を強化するほか、外部事業者によるセキュリティ体制の監査を実施し、再発の防止を図りたいとしている。

プレスリリース（バックアップ）

衣料品通販サイト「LINK IT MALL」に不正アクセス - クレカやアカウント情報が流出か（転載）

弊社が運営する「LINK IT MALL」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 株式会社リンクイット
boujeloud.com/c/information/…

衣料品通販サイト「LINK IT MALL」に不正アクセス - クレカやアカウント情報が流出か

ブランド「Bou Jeloud」などの衣料品を扱う通信販売サイト「LINK IT MALL」が不正アクセスを受け、会員のアカウント情報やクレジットカード情報が外部に流出した可能性があることがわかった。

同サイトを運営するリンクイットによれば、ウェブサイトの決済アプリケーションを改ざんされ、2020年4月27日から2021年3月24日にかけて同サイトで商品を購入した顧客6197人が利用したクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

対象となるクレジットカード情報は6485件で、クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。また同サイトに登録する顧客のメールアドレスやログインパスワードについても流出した可能性があり、パスワードの初期化を実施したという。

4月20日に決済代行会社から情報流出の可能性について指摘があり問題が発覚。4月30日に警察へ被害を申告し、個人情報保護委員会に対しても7月21日に報告した。

外部事業者による調査は9月29日に終えており、対象となる顧客に対しては、11月4日よりメールで連絡を取って謝罪し、身に覚えのない請求が行われていないか確認するよう求めている。

プレスリリース（バックアップ）

手芸用品通販サイトに不正アクセス - 社内ネットワーク経由でサイト改ざん（転載）～想定損害賠償額は5,000万円程度か～

[PDF] 弊社が運営する「パーツクラブ オンライン」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 
endless-inc.jp/img/news/21110…
パーツクラブ・オンラインからのカード情報漏えい
手芸用品通販サイトに不正アクセス - 社内ネットワーク経由でサイト改ざん

アクセサリーの部品やビーズなどの手芸製品を扱う通信販売サイト「パーツクラブオンライン」に不正アクセスがあり、クレジットカード情報が外部に流出し、不正に利用された可能性があることがわかった。

同サイトを運営するエンドレスによれば、同社の社内ネットワーク経由で同サイトに不正アクセスが行われ、ウェブサイトの決済アプリケーションを改ざんされたもの。6月30日に顧客から情報流出の可能性について指摘があり、問題が判明した。

5月27日からクレジットカードによる決済を停止した7月1日にかけて、クレジットカードの番号、有効期限、セキュリティコードなど、顧客2070人が購入時に利用したクレジットカードに関する情報を窃取され、不正に利用された可能性がある。

7月2日に警察へ被害を申告し、情報処理推進機構（IPA）にも不正アクセスを届けたほか、7月15日には個人情報保護委員会へ報告した。

外部事業者による調査は9月27日に完了しており、対象となる顧客に対しては、11月1日よりメールや書面を通じて顧客に連絡を取り謝罪し、身に覚えのない請求がないか確認するよう注意喚起を行っている。

プレスリリース（バックアップ）

家具やインテリアの通販ショップに不正アクセス（転載）

[PDF] 弊社が運営する「オンラインショップ」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 株式会社かねたや家具店 
kanetaya.com/infomation2021…

家具やインテリアの通販ショップに不正アクセス

家具やインテリアを扱う通信販売サイト「ROOMDECOオンラインショップ」が不正アクセスを受け、アカウント情報やクレジットカード情報が窃取された可能性があることがわかった。

同サイトを運営するかねたや家具店によれば、3月5日から6月6日にかけて同サイトでクレジットカード決済を利用した顧客129人のクレジットカード情報140件が外部へ流出した可能性があることが判明したもの。

脆弱性を突かれて決済アプリケーションを改ざんされ、クレジットカードの番号、有効期限、セキュリティコードのほか、会員のID、ログインパスワードなどを窃取された可能性がある。6月7日に同サイトの保守を行う会社からクレジットカード情報が流出した可能性があるとの連絡があり、問題が判明した。

ログの調査では、会員情報や受注情報のデータベースに対してアクセスが行われた形跡も確認されたが、データベースがら情報を窃取された明確な痕跡は確認されていないと説明している。

外部事業者による調査は8月31日に終えており、9月7日に個人情報保護委員会へ報告。同日警察にも被害を申告したという。

クレジットカード情報が流出した可能性がある顧客に対しては、10月28日よりメールにて事情を説明するとともに謝罪し、身に覚えのない請求がないか注意を呼びかけている。

プレスリリース（バックアップ）