2024年5月24日 長崎県物産振興協会が運営する「eーながさきどっとこむ」で不正アクセスが発生し、個人情報漏洩の恐れがあると記者会見で発表しました。
不正アクセス発見の経緯
2024年5月21日 警察から「eーながさきどっとこむ」のプログラムの一部が不正改ざんされていると通知を受け、22日に停止
漏洩した可能性のある個人情報
「eーながさきどっとこむ」で商品購入、会員登録した方の以下情報
・氏名
・生年月日
・住所
・クレジットカード番号
漏洩した可能性のある個人情報件数
調査中の為不明
「eーながさきどっとこむ」はEC-CUBEを利用
2024年4月のインターネットアーカイブの情報では、受発注や、会員機能はEC-CUBEを利用しています。

EC-CUBEは2021年から2022年に複数のクロスサイトスクリプティングの脆弱性が公表されており この脆弱性を突かれた場合、受発注フォームなどでクレジットカードを含む個人情報を窃取されます。
「eーながさきどっとこむ」の不正アクセスの原因はまだ調査中ですが、こういった脆弱性に対応する為のサイト更新を行っていなかった可能性もあります。
その他関連記事