ユー・アンド・アース株式会社は2025年4月8日、同社が運営する通販サイト「ホットストラップ(https://hotstrap.jp/)」が第三者による不正アクセスを受けたことにより、最大1,506件の個人情報および890件のクレジットカード情報等が漏えいした可能性があると発表しました。
目次
発覚の経緯と対応の流れ
-
2024年6月6日:警視庁よりクレジットカード情報漏えいの懸念について通報を受ける
-
2024年6月27日:クレジットカード決済を停止し、第三者機関による調査を開始
-
2024年9月19日:調査結果によりカード情報の漏えいと個人情報流出の可能性を確認
-
2025年4月:被害対象のユーザーへの連絡を開始し、公式リリースを公開
同社はすでに個人情報保護委員会や警察当局への報告を済ませており、再発防止に向けたセキュリティ強化を進めているとしています。
不正アクセスの原因
調査の結果、同社はクレジットカード情報を直接保持していなかったものの、サイトの一部システムに存在していた脆弱性が悪用され、ペイメントアプリケーションが改ざんされていたことが判明しています。
漏えいした可能性のある情報と対象範囲
クレジットカード情報等(最大890件)
-
対象期間:2021年2月27日〜2024年6月27日
-
対象条件:「即納品ショップ(バナー青)」で決済を行ったユーザーのみ
-
漏えいの可能性がある情報:
-
カード名義
-
カード番号
-
有効期限
-
セキュリティコード
-
登録メールアドレス(ログインID)
-
ログインパスワード
-
※「特注品ショップ(バナー赤)」や姉妹サイト「ホットモバイリー」は対象外
個人情報(最大1,506件)
-
対象期間:2024年7月12日までにサイトに登録したユーザー
-
漏えいした可能性がある情報:
-
氏名
-
会社名(任意)
-
住所
-
電話番号
-
メールアドレス
-
生年月日(任意)
-
ログインパスワード
-
注文履歴
-
クレジットカード情報の漏洩に注意
今回クレジットカード番号とセキュリティコードも漏洩しています。
クレジットカードが不正利用される可能性があるので、怪しい決済がないかを注視し、心当たりのない決済履歴がないか利用確認する必要があります。
まとめ
今回のケースは、「改ざん型」不正アクセスによりクレジットカード情報が第三者に送信されるという典型的な被害例です。クレジットカード決済処理が外部委託されていても、ECサイトのフロントエンドやスクリプト改ざんにより情報漏えいが起こりうることを示しています。
EC事業者にとっての教訓
-
保有していない = 安全ではない
-
改ざん検知ツールの導入(Magecart対策)
-
PCI DSS準拠だけでなく、フロントエンド監視とWAFの運用も重要
関連記事
BtoBの展示会で利用できるイベントコンパニオン事務所のご紹介
シャープが「COCORO STORE」と「ヘルシオデリ」の不正アクセスについての調査報告書を発表
カレルチャペック紅茶店の公式 ECサイトで不正アクセス 10万件の個人情報が漏洩し5万件のクレカ情報も漏洩
お茶の荒畑園 公式サイト、不正アクセスで最大7万件超の個人情報が漏洩
創価学会の仏具を販売する博文栄光堂オンラインショップが不正アクセスで約5万人の個人情報が漏洩
ジョイフル本田が運営する「THE GLOBE・OLD FRIEND オンラインショップ」で不正アクセス 約2万人の個人情報漏洩の可能性
アルファユニ 公式ショップが不正アクセスにより、約3千人の個人情報漏洩の可能性
獣医学本の販売サイト エデュワードプレスオンライン、2024年4月の不正アクセスにより個人情報やクレジットカード情報が漏洩
快活CLUBの不正アクセスで約720万件の個人情報漏洩の可能性