大手紳士服チェーンを展開する株式会社コナカは2025年4月24日、自社が展開するオーダースーツブランド「DIFFERENCE」のシステムに対する不正アクセスによるサイバー攻撃を受け、一部サービスの停止と最大で15万0491人分の個人情報が漏洩した可能性があると発表しました。
発覚の経緯:大量アクセスで異常を検知
コナカの発表によると、今回の事案は「DIFFERENCE」アプリの機能の一つである「オーダー詳細ダウンロード」サービスに対し、外部から不正プログラムを用いた大量のアクセスが発生したことから始まりました。
2025年4月22日8時53分、同サービスのシステム管理会社が異常を検知し、調査を開始。9時7分には不正アクセスを遮断したものの、それまでの短時間に個人情報が漏洩したことが確認されました。
流出した情報の範囲と対象者
影響を受けた可能性があるのは、「DIFFERENCE」でオーダー取引を行った15万0491名の顧客。漏洩が懸念される情報は以下の通りです。
漏洩の可能性がある情報
-
お客様情報:氏名、住所、電話番号
-
注文情報:
-
注文日・発送予定日・到着希望日
-
担当者名・購入店舗
-
商品名、生地名、有料オプション
-
金額と支払い方法(現金かカードの別)
-
流出していない情報
-
クレジットカード番号やセキュリティコード(※外部決済システム利用のため未保持)
-
電子メールアドレス
-
アカウントパスワード
さらに、コナカ・フタタ、SUIT SELECT、グループ会社の他ブランドは本件の影響を一切受けていないと強調されています。
不正アクセスは発生の原因
リリースによると、不正アクセスの原因は不正プログラムを利用したサーバーへの不正アクセスという記載のみで
攻撃の詳細は明らかにされていませんが、不正プログラムを用いて特定のダウンロード画面に集中アクセスが行われたとされており、Web APIやURLに対する制限が不十分だった可能性が考えられます。
このようなサービスは、顧客利便性を高める一方で、「認証トークン」「参照制限」「ダウンロード回数制限」などの実装が不十分な場合、外部からのマススキャンや自動化された攻撃(スクリーピング、ブルートフォースなど)に対して脆弱です。
会社の対応:サービス停止と再構築へ
現在、被害のあった「オーダー詳細ダウンロード」および類似機能である「領収書ダウンロード」サービスは全面停止されています。システム管理会社によってサーバーの再構築とセキュリティ点検が実施中で、再発防止に向けた対応が進められています。
加えて、漏洩が確認された顧客に対しては、個別に電子メール等で連絡が行われる予定であり、個人情報保護委員会にも正式に報告がなされる見込みです。
