(概要
アクセサリーの製造・販売を手がけるザ・キッスのECサイト「THE KISS ONLINE SHOP」が外部(海外IPアドレス)からの不正アクセス攻撃を受け、約20万件の顧客情報が漏えいした可能性があることを公表しました。クレジットカード情報が流出した可能性もあり、対象は537件にのぼります。それらの情報には、セキュリティコードや有効期限などが含まれています。
なお、ザ・キッスによると不正アクセスの犯人と思われる第三者から、「THE KISS ONLINE SHOP」にハッキングした旨の通告がコーポレートサイトの問い合わせメールに寄せられていたといいます。
タイムライン
2016年2月10日(水)
ザ・キッスが不正アクセスの痕跡を確認。第三者機関による調査開始と同時に管理ページのログインパスワード変更、管理端末のセキュリティ対策を実施。
2016年2月15日(月)
調査によって判明した不正アクセスの原因となったプログラムを特定と同時に削除。
2016年2月24日(水)
不正アクセスの犯人と思われる第三者からメールが届き、再び第三者機関による調査を実施。顧客情報が漏えいした痕跡が発見され、所轄警察署へ相談。
2016年3月2日(水)
決済代行業者から顧客カードの情報が漏えいしている可能性があるとの連絡が入り、当該サイトの利用を停止。その後、不正アクセスによって顧客情報とカード情報が漏えいした可能性が発覚。
2016年4月11日(月)
当該サイト上に本件のお知らせとお詫び文を掲載。
原因
弊社の見解
海外からの不正アクセスを想定したIPアドレス制限などのセキュリティ体制が不十分であったと考えられます。
被害
約20万件の情報漏えいによる、二次被害は今のところ報告されていません。
対応
ザ・キッスは管理ページのログインパスワード変更、管理端末のセキュリティ対策を実施。所轄警察署への相談並びに被害届の提出をおこなった(捜査開始済)。また、当該サイトの利用を停止。しかし、外部オンラインショップの利用は引き続き可能との旨を利用者に通知した。
加えて、同社はクレジットカード情報が漏えいした可能性のあるお客様には順次メールにて連絡をおこなっている模様。クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードでの取引をモニタリングし、不正利用の防止に尽力している。
更に、本件に対するお客様窓口の設置もおこなっている。
関連情報
株式会社ザ・キッス「不正アクセスによる情報漏洩に関するお知らせとお詫び」(2016/04/11)(魚拓)
ネットショップ担当者フォーラム「顧客情報約20万件がザ・キッスのECサイトで流出か。ハッキング示唆するメールも届く」(2016/04/12)(魚拓)
