長崎県物産振興協会 運営「eーながさきどっとこむ」の不正アクセスで約7万人の個人情報漏洩の可能性

セキュリティニュース

投稿日時: 更新日時:

長崎県物産振興協会が運営する「eーながさきどっとこむ」の不正アクセスで約7万人の個人情報漏洩の可能性

2024年5月24日 長崎県物産振興協会が運営する「eーながさきどっとこむ」で不正アクセスが発生し、個人情報漏洩の恐れがあると記者会見で発表しました。2024年8月7日 調査の結果 顧客のクレジットカード情報(18,746名分)と、顧客の個人情報(60,350名分)及びお届け先の個人情報(78,840名分)が漏えいした可能性があることを発表しました。

不正アクセス発見の経緯

2024年5月21日 警察から「eーながさきどっとこむ」のプログラムの一部が不正改ざんされていると通知を受け、22日に停止。

6月7日に、第三者調査機関による調査も開始。

2024年6月22日、調査機関による調査が完了し、2021年3月10日~2024年5月22日の期間に「e-ながさきどっとこむ」で購入されたお客様のクレジットカード情報の漏えいが認められることを確認するとともに、2000年10月2日から2024年5月22日までの間、サイトにおいて会員登録されたお客様の個人情報及びお届け先の個人情報が漏えいした可能性があることを確認。

その後、協会で会員情報を基に当該期間における個人情報の漏えいの可能性があるお客様の特定を行い、今回の公表に至る

不正アクセスの原因

サイトで利用しているペイメントアプリケーションの改ざん

クレジットカードが漏洩した可能性のある顧客

2021年3月10日~2024年5月22日の期間に「e-ながさきどっとこむ」で購入された方の以下クレジットカード情報 18,746名分

  • カード名義人名
  • クレジットカード番号
  • 有効期限
  • セキュリティコード

個人情報漏えいの可能性が顧客

2000年10月2日から2024年5月22日までの間、サイトにおいて会員登録された

顧客の個人情報(60,350名分)及びお届け先の個人情報(78,840名分)

会員情報

  • 氏名
  • メールアドレス
  • 郵便番号
  • 住所
  • 電話番号
  • 会社名(任意)
  • 性別(任意)
  • 生年月日(任意)
  • FAX番号(任意)
  • 職業(任意

お届け先情報

  • 氏名
  • 郵便番号
  • 住所
  • 電話番号
  • 会社名(任意)

※漏洩対象には別途メールや書状で連絡中

引用

当協会が運営する通販サイト「e-ながさきどっとこむ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

「eーながさきどっとこむ」はEC-CUBEを利用

2024年4月のインターネットアーカイブの情報では、受発注や、会員機能はEC-CUBEを利用しています。

EC-CUBEは2021年から2022年に複数のクロスサイトスクリプティングの脆弱性が公表されており この脆弱性を突かれた場合、受発注フォームなどでクレジットカードを含む個人情報を窃取されます。

その他関連記事

クレジットカードが不正利用される原因を解説

SNS型投資詐欺とは 手口や被害事例を解説