ヴァルカナイズ・ロンドン オンラインストア、不正アクセスで個人情報・カード情報が流出の恐れ

BLBG株式会社が運営する「ヴァルカナイズ・ロンドン オンラインストア」で、第三者による不正アクセスが発生し、お客様の個人情報（336件）およびクレジットカード情報（5,754件）が漏えいした可能性が判明しました。対象となるお客様へは本日より順次、電子メールで個別連絡を実施しています。企業として事態を深刻に受け止め、再発防止策の策定・実施に取り組む方針です。

これまでの経緯

• 2024年9月19日：一部のクレジットカード会社から、同ストア利用者に関するカード情報漏えい懸念の連絡を受領。

• 2024年9月24日：オンラインストアにおけるカード決済を停止しました。第三者調査機関の調査を開始。

• 2024年12月20日：調査が完了し、指定期間に購入されたお客様についてクレジットカード情報の漏えいおよび一部カードの不正利用の可能性を確認。

• 2025年10月31日：個人情報漏洩を発表

クレジットカード情報の漏えい可能性（5,754件）

対象期間は次の二つです。いずれもオンラインストアでカード決済を行ったお客様が対象となります。

• 対象期間①：2021年5月1日〜2024年5月30日
  漏えいの可能性がある項目：
  ・カード名義人名／カード番号／有効期限（年・月）／セキュリティコード
  ・メールアドレス／パスワード／携帯電話番号

• 対象期間②：2024年6月25日〜2024年7月1日
  漏えいの可能性がある項目：
  ・カード名義人名／カード番号／有効期限（年・月）／セキュリティコード

※上記二期間において、すべての項目が対象となるケースもあれば、一部項目に限定されるケースもあります。該当されるお客様には個別に詳細を通知予定。

その他の個人情報の漏えい可能性（336件）

2023年4月5日〜2024年5月31日の間、サーバ上のデータベースが操作された可能性があり、登録されていたユーザー情報（336件）が対象です。漏えいの可能性がある項目は以下の通りです。
・ユーザー氏名／住所／電話番号／メールアドレス

原因

オンラインストアのシステムの一部脆弱性を突かれ、ペイメントアプリケーションが改ざんされる。これにより、決済時に入力されたカード情報が不正に取得された可能性があります。

漏洩対象者はクレジットの不正利用とリスト型アカウントハッキング攻撃に注意

今回クレジットカード番号とセキュリティコードも漏洩しています。

クレジットカードが不正利用される可能性があるので、怪しい決済がないかを注視し、心当たりのない決済履歴がないか利用確認する必要があります。

再発防止と再開方針

• システムのセキュリティ対策強化、監視体制の見直し・強化を実施します。

• サイト再開日は、改修完了と安全性の確認後にWebサイトで告知します。

• 本件については、個人情報保護委員会へ2024年11月15日に報告済、所轄警察署へ2024年9月26日に被害申告済です。捜査が必要な場合には全面的に協力します。

関連記事

ミートガイ 本店 オンラインストア、不正アクセスにより約10万件の個人情報とクレカ情報も6千件が漏洩 スポーツに関連するオフィシャルグッズを販売する「GAORAオンラインショップ」サイバー攻撃で約1万6千件の個人情報漏洩の可能性 東京ヴェルディの公式オンラインストアでのクレジットカード情報 漏洩事件、元システム管理者ら2人を逮捕 タリーズ オンラインストア が 不正アクセスで個人情報漏洩の可能性 京王プラザホテル、宿泊予約システム委託先「PTG」による不正アクセスで個人情報漏洩の可能性 日本原子力研究開発機構、委託先の不正アクセスで個人情報漏洩の可能性を公表 富士電機のインドネシア子会社がランサムウェア 被害を発表 お茶の荒畑園 公式サイト、不正アクセスで最大7万件超の個人情報が漏洩 フクヨシ ショッピングサイト、不正アクセスで最大1万2,630件のクレジットカードや個人情報漏洩の可能性

投稿者：三村

セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。 セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。