2024年5月14日 株式会社岸和田スポーツが運営するECサイト「Kemari87KISHISPO」が不正アクセスにより13,879名分のクレジットカード情報と38,664名分の顧客情報が漏洩した事を発表しました。
ECサイトの注文フォームを利用した不正アクセスですので、XSSなどの脆弱性を突くクロスサイトスクリプティングの可能性が高いです。
個人情報漏洩 発見の経緯
2024年2月6日、一部のクレジットカード会社から、「Kemari87KISHISPO」を利用した顧客のクレジットカード情報の漏洩懸念について連絡を受け、同サイトのクレジットカード決済を停止し、2024年2月14日より第三者調査機関による調査を開始。
2024年2月26日、第三者調査機関による調査が完了し、2021年2月24日~2024年1月17日の期間に 「Kemari87KISHISPO」で購入された顧客のクレジットカード情報及び個人情報が漏洩した可能性があることを確認し発表
個人情報漏洩の原因
「Kemari87KISHISPO」のシステムの一部の脆弱性を利用するために第三者が2021年2月21日から2021年2月24日にかけて不正注文を行い、注文データの参照が行われたことを起点として不正なスクリプトが実行されたとしています。
なお、ECサイトの注文フォームを利用した不正アクセスはXSSなどの脆弱性を突く、クロスサイトスクリプティングの可能性が高いです。
個人情報が漏洩した時点で利用してるか不明ですが、2024年5月14日時点で、「Kemari87KISHISPO」はEC-CUBEを利用しています。EC-CUBEは2021年から2022年に複数のクロスサイトスクリプティングの脆弱性が公表されており この脆弱性を突かれた可能性があります。

クレジットカード情報漏洩の可能性がある顧客
2021年2月24日~2024年1月17日の期間中に「Kemari87KISHISPO」においてクレジットカード決済をされた方13,879名で、漏洩した可能性のある情報は以下。
- カード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
- メールアドレス(パスワードの漏洩はありません)
- 郵便番号
- 住所
- 電話番号
個人情報漏洩の可能性がある顧客
2021年2月24日~2024年1月17日の期間中にECサイトにおいてご購入された顧客38,664名で、 漏洩した可能性のある情報は以下。
- ・氏名
- ・メールアドレス(パスワードの漏洩はありません)
- ・郵便番号
- ・住所
- ・電話番号
漏洩懸念のあるお客様には、別途、電子メールにて連絡を行うとの事。
公表が遅れた経緯について
2024年2月6日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
引用:公式リリース
関連記事